Facebook OAuth 进行身份验证？

Question

好的，在这里阅读了很多关于 OpenId 和 OAuth 的 QA（例如 this，我希望我能理解两者之间的区别。我看到人们推荐 OpenID 进行身份验证（证明身份）和 OAuth 进行授权（比如推文或帖子） fb 墙上的东西等）。

但我的问题是 - 如何使用 Facebook/Twitter OAuth 对网站进行身份验证？就像SO 本身使用 Facebook 登录作为用户身份的方式一样。我想听听其他人对使用旨在授权用于身份验证的东西的看法。这样做的原因与使用 Open Id 相同，即简化新用户的注册过程。

PS：如果我仍然对 OpenID/OAuth 的使用感到困惑，请纠正我。

Answer 1

据我所知，您并没有混淆任何东西。 OpenID确实是一种身份认证规范，而oAuth确实主要是为了解决授权问题。

说了这么多。您也可以使用 oAuth 进行身份验证。没有什么可以阻止你这样做。我肯定会利用这一点。

使用 oAuth 进行身份验证的唯一缺点是您可能希望提供者严格限制其访问令牌允许您执行的操作。我的意思是，当您验证 twitter 用户时，您还可以做 Twitter API 允许您做的所有其他事情（基本上就是所有事情）。 Facebook 可能更具限制性，并且只能授予应用程序身份验证 API 功能的一个子集。

OpenID 进行识别，差不多就是这样，我喜欢它。但我很乐意在一周中的任何一天将 oAuth 用于相同的目的。