OAuth 2.0では一部認証について語っている部分があります。 上記フローの理解の一助になるよう、認証の位置付けについて簡単にまとめました。

認証の種類

OAuth 2.0ではサービス側が認証すべきものとして、a. アプリ、b. ユーザがあります。

1. アプリの認証は、不適切なアプリがサービスのデータを利用しないようにコントロールをする必要があるために行うものです。 例としては、GoogleやFacebookのAPIを利用する時に取得が必要なclient_id, client_secretが該当します。 認可サーバの提供側としては、これらでアプリを認証することで、悪意を持ったアプリによるアクセスを防ぐ必要があります。

2. ユーザの認証は、サービス内にユーザが保有しているデータを見せてよいのかコントロールする必要があるために行うものです。 例としては、GoogleやFacebookと連携する際に、(これらのサービスにユーザがまだログインしていない場合は)ログインを求められることが挙げられます。