OAuth2.0は認証の仕様ではない。の理解まとめ
OAuth2.0はなぜ認証と間違えられる?
- OAuth2.0は認可の仕様である
- 権限を移譲するという考え方
- 認証ではないが結果的に認証するので使われている
- 「クライアントアプリに権限を与えますか?」の部分は、実際にはソーシャルログイン画面用のような認可画面を提供して実現している
- 認可画面にIDとパスワードを入力するフォームがあるので、認可の中に認証が含まれている。という意味
- ただしこの認可画面はOauthの仕様には書かれていない。どうでもいい
- つまりOAuthは認可の仕組みであり、認証の仕組みではないということ