Api 当Auth和服务提供者相同时，OAuth有用吗？

在阅读RESTAPI和安全性时，您总是将OAuth2.0视为身份验证灵丹妙药。但实际上，真正的OAuth 2.0要求服务和身份验证提供者是分开的，主要是为了使身份验证提供者可以用于多个服务。此外，客户端不受信任且未提供凭据。如果您的服务和身份验证提供者是相同的，那么OAuth看起来过于复杂

---

除此之外，许多API只在承载令牌流中使用某种类型的客户机id/客户机机密。这不比进入会话的用户名/密码好多少

您在Auth[-Provider]和服务提供商之间进行了拆分，但实际上涉及三个部分：

认证。 服务提供商。 服务消费者。 身份验证和服务提供者由同一方完成是很常见的

如果您需要OAuth或不需要OAuth，这取决于服务使用者。如果您希望第三方应用程序代表用户使用您的服务，OAuth非常有用