现代应用程序或多或少都是如下这样的架构：

在这种情况下，前端、中间层和后端都需要进行验证和授权来保护资源，所以不能仅仅在业务逻辑层或者服务接口层来实现基础的安全功能。为了解决这样的问题，通常就会导致如下安全架构：

上图其实是把整个安全问题分解为两个方面：验证和API访问。

所谓验证，就是应用程序需要知道当前用户是谁。通常应用程序都会管理用户信息，并代表用户来访问用户被授权的资源。这对于典型的Web应用程序很常见，但是对于原生应用程序或基于JS的应用程序也是需要验证。所以业界就制定了各种各样的通用验证协议：SAML2p、WS-Federation和OpenID Connect。SAML2p之前运用的比较广泛，不过作为后起之秀的OpenID Connect（其本质是基于OAuth 2.0扩展而来）对现代的应用程序（尤其移动应用）而言更加适合。

对于API访问。应用程序有两种方式来和API进行通信：使用应用程序自己的标识，或者代表用户使用用户的标识。OAuth2协议就允许应用程序先从安全令牌服务哪里请求一个访问令牌，然后随后用这个令牌来和API进行通信（API会访问令牌服务器来验证访问者的令牌是否有效）。这就降低了客户应用程序和API之间的复杂度，因为验证和授权都被中心化了。

二、