单点登录的基石：OAuth 2.1 与 OpenID Connect 如何编织安全可信的身份网络

身份，是数字世界的通行证。当一名员工每天在不同业务系统间反复输入密码，当用户在十几个独立网站疲于注册，一种强烈的技术冲动便会出现：能否只登录一次，就能畅行所有应用？这就是单点登录（SSO）的朴素愿景。而实现这一愿景的现代基石，并非某个单一的协议，而是一对配合默契的组合——OAuth 2.1 与 OpenID Connect。

许多开发者在初探 SSO 时，会听到“我们用 OAuth 做认证”这样的说法。然而，这恰恰是过去十年安全领域最普遍的误解之一。OAuth 2.1 是一个纯粹的授权框架，它生来就不是为了证明“你是谁”，而是回答“你可以让谁访问什么资源”。真正赋予 SSO 以身份灵魂的，是建立在它之上的 OpenID Connect 协议。两者叠加，才构成了目前云原生世界中最安全、最灵活的 SSO 方案。这篇文章将试图拨开层层术语，以技术观察者的角度，梳理这套组合拳的内在机制、安全优势以及其精巧的设计哲学。

历史的弯路：当授权协议被推上认证的前线

2012 年 OAuth 2.0 协议正式发布，迅速成为互联网授权场景的事实标准。它的设计初衷非常清晰：允许第三方应用在不知道用户密码的情况下，获得有限度的资源访问权限。例如，一个照片打印网站想要读取某人的 Google 相册，只需用户同意，Google 便会签发一个访问令牌（Access Token），打印网站持此令牌即可下载照片，全程无需泄露用户的 Google 密码。这种“同意授权”