OAuth là một cách thay thế cho các ứng dụng để giữ dữ liệu đăng nhập mà không cần lưu trữ dữ liệu thực.
Khi bạn đăng nhập vào một số trang, bạn thường có tên người dùng và mật khẩu cá nhân hoặc bất kỳ loại thông tin đăng nhập nào khác. Bây giờ, nếu bạn muốn một ứng dụng có thể thực hiện các công cụ trên đăng nhập đó, bạn sẽ cần phải cung cấp cho ứng dụng đó dữ liệu đăng nhập ban đầu của bạn. Có nghĩa là bạn nhập cả tên người dùng và mật khẩu của bạn vào ứng dụng. Đó không phải là xấu cho đến nay, nhưng điều là nếu bạn muốn ở lại đăng nhập thông qua ứng dụng đó, nó cần phải lưu trữ thông tin đăng nhập của bạn. Nhưng để làm cho nó có thể gửi dữ liệu đăng nhập chính xác đến trang thực tế, nó cần lưu trữ chúng ở dạng ban đầu của chúng (chỉ với một số mã hóa hoặc một cái gì đó). Vì vậy, nếu ai đó biết cách dữ liệu được lưu trữ trong ứng dụng, họ có thể trích xuất thông tin đăng nhập ban đầu của bạn.
Đây là vấn đề bảo mật và chính xác vị trí của OAuth. Với OAuth, mọi ứng dụng đều được nhận dạng bằng khóa người dùng và bí mật của người tiêu dùng. Cả hai đều là duy nhất cho khách hàng và thường không có người dùng nào có thể xem được những thứ đó (đặc biệt không phải là bí mật). Bây giờ khi bạn muốn cho phép ứng dụng của bạn có quyền truy cập vào trang, bạn bắt đầu quá trình cấp phép OAuth. Bạn chỉ cần đăng nhập vào trang và cho phép rõ ràng rằng ứng dụng đặc biệt (được xác định bởi khóa người dùng) để có quyền truy cập. Nếu bạn làm điều đó, ứng dụng sẽ nhận được một cặp khóa khác, mã thông báo truy cập và bí mật truy cập. Cặp khóa đó chỉ hoạt động cho tài khoản của bạn và chỉ hoạt động khi được ứng dụng chính xác sử dụng (được xác định bằng khóa người dùng và được bảo mật là ứng dụng ban đầu của bí mật người tiêu dùng). Bây giờ tất cả các ứng dụng cần lưu trữ là cặp khóa truy cập (cùng với cặp khóa người dùng đã được lưu trữ) và nó sẽ có quyền truy cập vào trang mà không bao giờ thấy dữ liệu đăng nhập ban đầu của bạn.
Bằng cách đó, không ai có thể nhận chi tiết đăng nhập thực của bạn và không ai khác (hoặc không có ứng dụng nào khác) có thể sử dụng thông tin xác thực truy cập được tạo để truy cập trang. Và nếu bạn không muốn ứng dụng vẫn truy cập, bạn có thể dễ dàng thu hồi cặp khóa truy cập để ứng dụng không thể sử dụng ứng dụng nữa.
Vì vậy, OAuth chỉ là một cách để bảo vệ dữ liệu đăng nhập thực của bạn. Bên cạnh đó nó không thêm bất kỳ mức độ bảo mật nào khác hoặc một thứ gì đó, nó chỉ là để bảo mật dữ liệu của bạn.
Giống như OpenID, ngoại trừ khác nhau. Bài đăng này giải thích rõ: http://softwareas.com/oauth-openid-youre-barking-up-the-wrong-tree-if-you-think-theyre-the-same-thing –
Nếu cuộc gọi OAuth "đơn giản "họ nên thử xác thực cơ sở HTTP. –