Authorization Server
Resource OwnerとClientの間で、権限移譲の仲介をするシステム。
やること
Resource Ownerを認証する。そう、認証するんですね。
この認証方法は規格に含まれない。という意味で「OAuthは認証ではない」と言われる。
そりゃそうですが詭弁の匂いが
Clientがリソースにアクセスすることについて、Resource Ownerの同意を得る。 (= Authorization Endpoint)
ClientにAccess Tokenを発行する。(= Token Endpoint)