OAuth 2.0 es un protocolo de autorización delegada. OpenID Connect (OIDC) añade una capa de autenticación sobre OAuth 2.0.
Roles en OAuth 2.0
Resource Owner (usuario), Client (app), Authorization Server (Auth0, Cognito), Resource Server (API). Flujo: consentimiento → token → acceso.
Grant Types
Authorization Code: el más seguro, con PKCE. Client Credentials: servidor a servidor. Implicit: obsoleto. Device Code: dispositivos sin navegador.
OpenID Connect
Añade id_token (JWT) con información del usuario. /userinfo endpoint. Scope openid. Claims: sub, name, email, picture.
Implementación
Bibliotecas: NextAuth.js, Passport.js, Auth.js. Proveedores: Auth0, Clerk, Supabase, Cognito. No implementes OAuth manualmente.

