【臉書】用巧克力比喻搞懂 OAuth2 與身分驗證

背景

美味的比喻——身分驗證與授權 Authentication vs. authorization: a delicious metaphor

觀察

為了解釋 OAuth2.0 與 OpenID Connect 的差異，作者以巧克力與軟糖做比喻，以下是機器翻譯：

//為了幫助釐清這個問題，或許將身分驗證與授權之間的區別比作巧克力和軟糖會有所幫助。儘管這兩者存在相似之處，但它們顯然有所不同：巧克力是成分，而軟糖則是糖果。你可以製作巧克力軟糖，根據我們謙虛的作者來看，這絕對是一種美味。這種甜點明顯以其巧克力味為特點。因此，將巧克力和軟糖乍看是相同的，但最終是不正確的。讓我們在這裡拆開一下，看看這與 OAuth 2.0 有什麼關係。

想法

在這個比喻中，OAuth 2.0 就像是巧克力。它是一種多功能的成分，是當今網路安全體系結構中的基礎之一。OAuth 2.0 的委派模型是獨特的，它始終由相同的角色和行為者構成。OAuth 2.0 可以用於保護 RESTful API 和網路資源。它可以被 Web 伺服器和本地應用程式的用戶端使用。終端使用者可以使用它來委派有限的權限，受信任的應用程式可以用它來傳輸後端資料。OAuth 2.0 甚至可以用來創建一個身分驗證 API，其中 OAuth 2.0 明確是關鍵的啟用技術。

相比之下，軟糖是由許多不同成分製成的糖果，它會帶上它們的味道：從花生醬到椰子，從柳橙到馬鈴薯。儘管口味各異，軟糖始終具有特定的形狀和質地，使其可識別為軟糖，而不是其他口味的糖果，如慕斯或甘納許。受歡迎的軟糖口味當然是巧克力軟糖，儘管明顯可以看出巧克力是這種糖果的主要成分，但還需要幾種其他成分和一些關鍵的過程才能將巧克力轉化為巧克力軟糖。結果是一種在口味上可識別為巧克力，但在形式上是軟糖的產品，使用巧克力製作軟糖並不等同於巧克力。

在我們的比喻中，身分驗證更像是軟糖。一些關鍵的組件和過程必須以正確的方式組合在一起，才能使其正常安全執行，這些組件和過程有各種各樣的選擇。例如，使用者可能需要攜帶設備，記住密碼，提供生物識別樣本，證明他們可以登錄到另一個遠端伺服器，或者採用任何其他方法。為了完成它們的工作，這些系統可以使用公鑰基礎設施（PKI）和證書，聯合信任框架，瀏覽器 Cookie，甚至專有的硬體和軟體。OAuth 2.0 可以是這些技術組件之一，但當然並不一定是。如果沒有其他因素，OAuth 2.0 是不足以進行使用者身分驗證的。

就像有製作巧克力軟糖的配方一樣，也有製作基於 OAuth 的身分驗證協議的模式。其中一些是為特定提供商製定的，如 Facebook、Twitter、LinkedIn 或 GitHub，甚至還有一些開放標準，如 OpenID Connect，可以跨多個不同的提供商使用。這些協議都以 OAuth 為共同基礎，使用自己的附加組件以稍微不同的方式提供身分驗證功能。//