理解OpenID和OAuth的区别

在项目开发中，我们经常说授权认证，经常把他们放到一起去描述，那两者在本质上是有区别的，OpenID和OAuth就是我们说的认证和授权。

OpenID：Authentication 认证

OAuth ：Authorization   授权

如今越来越多的网站，以及一些应用程序都开始使用第三方社交平台账户登录，那这里就会涉及到安全性的问题，隐私的问题，你不能随意来获取我的资料，当然你来使用我的资料，你要经过用户的同意，那这个用户是不是我平台上，还是要来向我求证，那在这个过程中，实际上就出现了两个过程，我们还是直接使用上次的例子来说明，比较直观，CSDN使用QQ登录，进入csdn的登录页，点击使用QQ登录：

  

在进入到QQ登录界面后，最开始是要请求认证，用户输入QQ号和密码，点击登录，腾讯互联会先进行验证该用户是否为我的用户，如果是我的用户，那么我会通知你（CSDN），他是我的用户，你可以使用该账户登录你的系统，这个过程就是认证（Authentication），认证就是证明你是谁，你是否是真实存在的，就好像，快递员来给你送快递，让你出示你的身份证，他确定你是本人后，把快递给你，这就是OpenID。

而在QQ授权登录下方，有两给CheckBox复选框，可以允许CSDN获得您的昵称、头像、性别，这是在认证之后的事了，在腾讯互联你是我平台的用户后，你可以自己选择CSDN是否有权去获取你的相关信息，当你勾选后，腾讯互联就把你的这些基本信息给了CSDN，这个过程就是授权（Authorization），授权就是确定了你是谁后，又把属于你的东西给了别人，犹如你向快递员出示了身份证，然后你又把你房门的密码给了他，并告诉他说，我把房门密码给你，你帮我放到我客厅里吧。

不管是认证（Authentication）还是授权（Authorization），都是很重要的，他涉及到两个平台之间的信息共享问题，还有用户的隐私，现在大多数第三方平台，特别是社交平台，都有自己的开放平台，也允许其他的平台去使用我的信息，特别是对我们初次登录的购物网站、论坛等等，这种方式也为我们省去了重新注册的麻烦，反正对于我来说，如果一个网站没有第三方登录，我都不乐意去他的平台上注册，太麻烦。但是也有的平台让你使用第三方登录后，还要你再填写一些邮箱、手机号等信息，因为毕竟第三方开放平台能给这些平台授权的信息是有限的，而这些平台还要想你更多的信息，也实属无奈，虽然这样做，也让我们心生厌恶。

关于OpenID和OAuth的区别，就写这么多吧，仅代表个人观点，有什么不对的地方请大神们多指正。后面的文章我会继续写关于认证和授权的示例。

扫描二维码关注我的公众号，共同学习，共同进步！