OpenID 与 Oauth(v1 & v2) 有何不同？

Question

我注意到所有大型网站都使用 Openid 而不是 Oauth。

我为 Google 和 Facebook 实现了 oauth。

我的要求：

• 使用 Google / Facebook 对用户进行身份验证
• 管理我网站上用户的简单用户配置文件，从 Google/Facebook 预先填充。

我应该选择什么 Oauth 或 Openid ？

何时遵循oauth？

Answer 1

它们用于不同的目标。

OpenID 用于验证您网站上的SomeUser，向其他网站询问用户身份的证明。

OAuth 用于授予 SomeOtherParty（例如其他网站或应用程序）代表 SomeUser 在您的网站上执行某些操作（这意味着 SomeUser > 已经在您的网站上以某种方式进行了身份验证）。

对于作者的请求，还有一些评论：

您不能选择“OAuth 对用户进行身份验证”，因为 OAuth 不是用户身份验证协议（尽管其名称中包含“auth”）。

借助 OpenID，您几乎可以使用任何 OpenID 提供商对用户进行身份验证，而无需对代码进行任何修改。

如果您选择使用 Facebook OAuth 对用户进行身份验证，那么您实际上并未对用户进行身份验证。您要求用户让您的应用程序访问 Facebook 上的用户个人资料。您正在访问 Facebook 服务来获取用户信息。这意味着，如果您想使用另一个 OAuth 提供程序服务来对用户进行身份验证，则在不编写新的“身份验证”代码的情况下您将永远无法做到这一点（除了新提供商支持与 facebook 相同的 API 的情况）。