OAuth 2.0

定位：授权框架（Authorization Framework）

核心目标

允许用户在不直接把密码给第三方应用的情况下，把自己在某个平台（资源服务器）的数据授权给第三方应用访问。

关键角色

1. Resource Owner（资源拥有者）：用户
2. Client（客户端）：第三方应用（如 Google Drive 插件）
3. Authorization Server（授权服务器）：颁发令牌
4. Resource Server（资源服务器）：存放用户数据（如 Google API）

授权流程（常见 Authorization Code Flow）

1. 第三方应用跳转用户去授权服务器（Google）
2. 用户同意授权
3. 授权服务器返回 授权码 (Authorization Code) 给第三方应用
4. 第三方应用用授权码换取 访问令牌 (Access Token)
5. 第三方应用使用 Access Token 去访问资源服务器的 API

核心点

• Access Token 代表用户授权，可以被用来访问 API
• OAuth 2.0 本身不关心用户是谁，只关心能否访问资源

OIDC (OpenID Connect)

定位：在 OAuth 2.0 上层的 身份层 (Identity Layer)