代理为什么需要自己的身份？难道他们不能只使用 OAuth 令牌和 API 密钥吗？ 当然可以，但当多个代理通过 OAuth 冒充同一个最终用户进行身份验证时： - 你无法区分它们 - 你无法撤销一个而不影响其他 - 你无法审计哪个代理做了什么 一些子代理存在几分钟后就消失，携带的权限远远超出其任务所需，或者留下过期的令牌，超出其创建的任务的生命周期。而适用于几个代理的人类审批在协调数十个代理时就会崩溃。 代理需要自己的可验证身份，而不是冒充人类最终用户的借用凭证。身份使我们能够附加政策、管理能力，并在代理和服务之间建立信任和问责制。基于开放标准和密码学构建身份，通过防止任何一个供应商 "拥有" 它来增强信任。