本文最初发布于devever.net网站，经原作者授权由InfoQ中文站翻译并分享。

现在，身份验证协议的数量快赶上应用程序协议，结果，这个领域很容易让人困惑。

最容易把人搞糊涂的是，很少有人注意到这样一种事实：

存在许多不同种类的身份验证协议，它们还试图扮演完全不同的角色。

与往常一样，首先请记住，身份验证和授权是不一样的功能。考虑到这一点，本质上存在三种不同的身份验证协议类别：

• 客户端到应用程序（客户端身份验证协议）

• 应用程序到验证服务器（后端身份验证协议）

• 单点登录（客户端到验证服务器到多个应用程序）

客户端到应用程序的身份验证协议由客户端发送给应用程序服务器进行身份验证。这种协议完全不揭示应用程序服务器在幕后如何使用客户端提供的信息对其进行身份验证。