prereqs:
Vedi questa domanda per una panoramica generale di come funziona OAuth.
Vedi questa domanda per una panoramica generale di come SSL chiave pubblica / TLS funziona.
Vedi questa domanda per una panoramica generale di come i certificati SSL si riferiscono all'identità.
La carne della questione:
I sistemi a chiave pubblica / privata possono essere utilizzati per fornire tre tipi di servizi:
- crittografia di sessione simmetrica
- crittografia sessione asimmetrica
- verifica dell'identità (spesso associata all'autenticazione)
Tecnicamente, nessuno dei tre servizi di cui sopra è necessario per il corretto funzionamento di un sistema OAuth: è molto possibile creare un sistema OAuth che non utilizzi affatto chiavi pubbliche / private.
Detto questo, i sistemi OAuth si affideranno spesso alla proprietà 1 dei sistemi di chiavi pubbliche / private per garantire che la comunicazione relativa a OAuth sia crittografata, solitamente costruendo protocolli di comunicazione in aggiunta ai sistemi esistenti basati su TLS / SSL. Inoltre, si affidano spesso alla proprietà 3 per fornire la verifica dell'identità su un solo lato, solitamente facendo affidamento su componenti browser esterni incorporati, che implicitamente svolgono tale funzione.