Tại sao các tác nhân cần có danh tính riêng của họ? Họ không thể chỉ sử dụng mã thông báo OAuth và khóa API sao? Chắc chắn rồi, nhưng khi nhiều tác nhân xác thực bằng cách mạo danh cùng một người dùng cuối thông qua OAuth: - bạn không thể phân biệt chúng - bạn không thể thu hồi một cái mà không làm hỏng cái khác - bạn không thể kiểm toán tác nhân nào đã làm gì Một số tác nhân phụ tồn tại chỉ vài phút rồi biến mất, mang theo quyền hạn rộng hơn nhiều so với nhiệm vụ của chúng yêu cầu, hoặc để lại các mã thông báo cũ mà vẫn tồn tại lâu hơn nhiệm vụ mà chúng được tạo ra. Và việc phê duyệt có con người tham gia mà hoạt động cho một vài tác nhân sẽ sụp đổ khi điều phối hàng chục tác nhân. Các tác nhân cần có danh tính có thể xác minh của riêng mình, không phải là thông tin xác thực mượn mạo danh người dùng cuối. Danh tính là thứ cho phép chúng ta gắn các chính sách, quản lý khả năng, và thiết lập niềm tin và trách nhiệm giữa các tác nhân và dịch vụ. Và việc xây dựng danh tính dựa trên các tiêu chuẩn mở và mật mã sẽ củng cố niềm tin bằng cách ngăn chặn bất kỳ nhà cung cấp nào "sở hữu" nó.