為什麼代理需要自己的身份？難道他們不能只使用 OAuth 令牌和 API 金鑰嗎？ 當然可以，但當多個代理通過 OAuth 假冒同一終端用戶進行身份驗證時： - 你無法區分它們 - 你無法撤銷一個而不影響其他 - 你無法審計哪個代理做了什麼 一些子代理存在幾分鐘後就消失，攜帶的權限遠超過其任務所需，或者留下過期的令牌，這些令牌的有效期超過了它們被創建的任務。而對於幾個代理有效的人類審批，在協調數十個代理時就會崩潰。 代理需要自己的可驗證身份，而不是假冒人類終端用戶的借用憑證。身份使我們能夠附加政策、管理能力，並在代理和服務之間建立信任和問責制。基於開放標準和密碼學構建身份，通過防止任何一個供應商 "擁有" 它來加強信任。