Api OAuth&；OpenID-需要确认吗

这个问题已经被问了20次，我读了很多关于它的文章。。。但我需要确认一些事情。我只是想知道我是否理解得很好

第一部分是关于定义：

识别：要识别客户，请确切知道客户是谁

授权：允许访问某些资源。这里没有身份

身份验证：将身份验证和授权相结合

我的第一个问题是：推理好还是不好

---

然后，我的第二部分是关于OAuth和OpenId的：

首先，对于基本实现，OpenId仅用于标识部分，OAuth用于授权部分

但现在，升级后，两者都倾向于使用身份验证部分

例如，OAuth基本上只允许一个应用程序通过网络访问另一个应用程序，而不需要用户的密码或关键信息。它只需执行一次并生成一个令牌，该令牌可以被撤销或刷新，并且需要为每个请求提供

现在，在OAuth的基本实现中，如果S1允许S2获取用户信息，我可以访问这些url:path_to_S1/api/users/foo-path_to_S1/api/users/bar，当我在第一个url上时，我将获取用户foo的信息（例如电子邮件联系人），当我在第二个url上时，我将获取用户栏的信息。我这里只有授权书，没有身份证明。对于标识，例如，我可以在OAuth的顶部实现API密钥或OpenId连接

我的第二个问题是：推理是否正确

---

提前感谢：）

如果S1根据令牌向S2提供信息，则S1可能已经存储了关于该令牌的信息，例如用户的身份。因此，使用oauth进行授权并不意味着您不能拥有关于用户的身份信息