Khi nào nên dùng OpenID và Oauth2

Nếu 1 người dùng chỉ hoạt động trong 1 ứng dụng, 1 website thì không cần thiết phải có OpenID và OAuth2. Tuy nhiên khi 1 người nào đó muốn sử dụng 1 tài khoản để sử dụng ở nhiều nơi mà không cần phải đăng nhập qua username password thì phải cần đến OpenID và OAuth2.

OAuth2 là một giao thức cho phép user chia sẻ một số thông tin + quyền của mình cho ứng dụng bên thứ 3. Ví dụ em đang cho phép stackask này xác thực tài khoản facebook của em và từ đó stackask có thể lấy được một số thông tin về avatar hay tên.

OpenID Connect được xây dựng trên OAuth2, tuy nhiên nó có sử dụng thêm jwt token, được gọi là ID token, để cho phép user có thể login trên cả các ứng dụng desktop và mobile.

Vậy theo anh thì sự khác biệt ở đây là OpenID Connect sẽ chỉ dành cho việc login vào ứng dụng bên thứ 3 thôi chứ không giống như OAuth2 sẽ cấp quyền cho ứng dụng đó để làm một số việc việc được.

Vậy nên khi nào mà em chỉ muốn cho bên thứ 3 login thôi thì em sẽ dùng OpenID Connect, còn khi nào em muốn bên thứ 3 có thể sử dụng thông tin + quyền của user thì có thể dùng OAuth2.

Tham khảo: https://www.okta.com/identity-101/whats-the-difference-between-oauth-openid-connect-and-saml/