Правильно ли я понимаю, что Oauth — это стандарт, и каждый его реализовывает по своему?

Question

[Twitt]

Ламерский вопрос, не спорю. Но таки:
Есть спецификация OAuth 2.0, правильно ли я понимаю, что если я хочу в свой сервис добавить свой OAuth (не фейсбук, твиттер, а именно для своего сайта), то я сам решаю, как генерировать например access_token (когда его у меня будут запрашивать), как выдавать refresh_token, какие скоупы есть и т.д.
Т.е. нет какой то либы, или стороннего сервиса, который должен это будет сделать за меня, правильно? Это всё должен делать сам

Comments

[Максим Федоров]

протокол
изначально — документ, фиксирующий какое-либо событие, факт или договорённость.

Да, можете детали реализации сделать своими, это договоренность, интерфейс

[Максим Федоров]

Т.е. нет какой то либы, или стороннего сервиса, который должен это будет сделать за меня, правильно? Это всё должен делать сам

Уже очень много реализаций на разных языках с разными провайдерами

[Twitt]

Максим Федоров, но ведь я могу нарушить этот "протокол" (договоренность), но другие будут думать, что у меня OAuth 2.0. При этом я буду действительно выдавать аксес токен.
Или я сейчас дичь сказал?)

[Иван Шумов]

Twitt, дичь)

[Robur]

Twitt, просто то что вы наваяете не будет работать с клиентами котрые будут думать что у вас Oauth 2.0.
что-то поломается.

Но если вы сделаете свой клиент, и свой сервер которые будут работать как-то по другому - кто ж вам запретит.

Answer 1

[Иван Шумов]

Можешь реализовывать самостоятельно, да. А можешь использовать готовый Identity Server (установленный или SaaS).
Примеры:

Premises:
- Keycloak
- WSO2
- IdentityServer4
- ...

SaaS:
- Auth0
- Okta
- Onelogin
- AWS Cognito
- ...