Rest 为什么在没有第三方的情况下使用OAuth？

我得到了一个需要改变的工作系统，但其中有些东西对我来说毫无意义。我希望这里有人能给我解释一下

我的客户机有一个web应用程序，通过RESTAPI与SaaS对话，以获取特定信息。该RESTAPI具有OAuth 1身份验证。我们的系统具有帐户ID和密码（他们实际上称之为令牌，但我认为它基本上是一个密码）。我们的系统根据OAuth协议计算一组不同的令牌，如

OAuth\u consumer\u key

，

OAuth\u nonce

等。然后在发出请求时使用这些令牌进行身份验证

让我困惑的是：据我所知，这个复杂的OAuth流应该是三条腿的。e、 如果一个人想告诉Facebook他允许web app Foo访问他们在Facebook上的信息，他们首先使用Facebook执行OAuth步骤，然后将令牌发送给Foo。这是至关重要的，因为用户的Facebook密码不能信任Foo

但是，当只有两个派对时，跳OAuth舞的逻辑是什么？与每次请求都发送密码相比，这有什么好处吗？（当然是加密的。）或者这是SaaS开发者对货物的崇拜

另外，我查看了SaaS公司提供的官方SDK。它们在SDK中执行相同的逻辑