В OAuth2 почему это код авторизации, а не код аутентификации?

Из раздела 1.3.1:

Код авторизации предоставляет несколько важных преимуществ безопасности,
таких как возможность аутентификации клиента, а также
передача токена доступа непосредственно клиенту без
передавая его через пользователь-агент владельца ресурса и потенциально
подвергая его другим, включая владельца ресурса.

Поскольку код авторизации позволяет аутентифицировать клиента (в качестве дополнительной меры безопасности), почему он не называется кодом аутентификации?

0
источник поделиться
1 ответ

В первую очередь это называется кодом авторизации, поскольку OAuth 2.0 - это авторизация, а не аутентификация (пользователь).

Он фактически не аутентифицирует клиента в традиционном "статическом" или "заранее установленном" смысле. Он просто гарантирует, что клиент, запрашивающий токен, будет таким же, как тот, на который был отправлен ответ авторизации.

На самом деле существует отдельный набор параметров проверки подлинности клиента, которые могут быть применены для фактической аутентификации клиента к конечной точке маркера в классическом смысле.

0
источник

Посмотрите другие вопросы по метке или Задайте вопрос