是oauth2仅在有第三方授权时使用？

1. 您可以将OAuth用于此类本地登录，但您不必这样做。根据可用的库，它可能更容易，如果您预计将来可以向第三方提供服务，则可能会有所帮助。但是，对于许多网站来说，使用OAuth进行本地登录会有点过分。
2. 当不同的参与者需要说一种共同的语言以便他们可以互操作时，标准是最有用的。对于本地登录，您不需要标准，因为您没有与任何第三方交互。许多Web框架在相同的基本流程中包含它们自己的变体。
3. 我认为，当您实际上不需要任何授权（访问第三方资源的权限）时，您会问OAuth是否对身份验证（建立身份）有意义。它确实可以这样使用，但很多人会警告它，因为它不是为此设计的，并且在这种情况下有一些安全漏洞。例如，参见Common pitfalls for authentication using OAuth。

1. 对于没有第三方的注册/登录，正如Kevin指出的那样，每个编程/ web框架通常都带有一个流行的库，一旦它生成所有的注册/登录页面，数据库表，流程等，为了你。您唯一要做的就是调用库提供的方法，当您需要确定用户是谁时，在您的后端代码中返回当前已登录的用户。
2. 正如您所指出的，使用盐渍密码方案根本与OAuth2无关。它是一种广泛使用的本地身份验证方案，因为它有许多好处，但我将在这里强调2： 一个。从用户传输到服务器以通过Internet进行身份验证时的密码不是以明文形式发送的，而是以散列格式发送的。因此即使被窃听，密码也不会被泄露。 湾由于每个密码都被加密，因此即使是2个相同的密码也不会具有相同的哈希，因为每个密码都有不同的盐因此，即使密码哈希被窃听，也不能在用户使用相同密码的另一个服务上重用它，因为另一个服务期望使用不同的盐生成密码哈希。
3. OAuth2完全与授权有关（要求用户允许代表她在另一个Web服务上执行某些操作，例如，要求用户访问她在Facebook上注册的电子邮件地址的权限）。使用它进行身份验证可能不安全（对于OAuth2隐式流）。为什么？ OAuth2的最终结果是与许可相关联的访问密钥，例如“访问电子邮件地址的许可”。当您使用OAuth2结果（访问密钥）进行身份验证时，这意味着您假设“访问电子邮件地址的权限”意味着用户已成功通过Facebook进行身份验证，这样做似乎没问题。但是，想象一下，如果另一个站点也像您一样使用OAuth2进行身份验证;如果它收到具有“访问电子邮件地址权限”的访问密钥，则会假定您已通过Facebook验证，因此它将授予您访问属于该电子邮件地址的帐户的权限。您实际上可以使用从用户获得的访问密钥，并在另一个站点中以她身份登录，反之亦然。

要使用OAuth2进行身份验证，您需要将其与OpenID Connect（OIDC）一起使用，因为OAuth2-OIDC的最终结果包含一个id_token，其中aud（听众）字段标识了访问密钥的用户（https://openid.net/specs/openid-connect-core-1_0.html#IDToken），这会阻止访问密钥可以在不需要的地方重用。通过易于理解的图表的完整解释如下：https://www.slideshare.net/KhorSoonHin/the-many-flavors-of-oauth/36?src=clipshare

对于使用OAuth2进行登录的安全意识方式，另一个非常简单但可能令人不安的是使用资源所有者密码凭据，其中您的网站充当用户和OAuth2提供商（Facebook）之间的中间人。

1. 显示“使用Facebook登录”按钮
2. 当用户点击按钮时，提示用户输入Facebook用户名/密码
3. 使用用户名/密码登录Facebook以确认身份验证并获取访问令牌。

如果您没有时间深入了解OAuth2，那么对所有OAuth2流程进行这种并排比较可能会有所帮助。

这是https://blog.oauth.io/introduction-oauth2-flow-diagrams/的礼貌