Ответ 1
Паспорт - это промежуточное программное обеспечение для проверки подлинности. OAuth является промежуточным программным обеспечением авторизации.
Чтобы понять разницу:
Аутентификация - это процесс подтверждения того, что кто-то действительно является тем, кем он себя утверждает.
Авторизация относится к правилам, определяющим, кому разрешено что-то делать. Например. Бобу может быть разрешено создавать и удалять базы данных, в то время как Bobbette разрешается читать только.
Иными словами. Аутентификация - это ваше имя пользователя + пароль. Авторизация - это то, что вам разрешено делать.
Паспорт позволит вам аутентифицировать пользователя, прежде чем разрешить доступ к вашему API. Это не позволяет (прямо, возможно) разрешить проверять, разрешено ли пользователю выполнять действие после аутентификации.
Отметьте Wikipedia для получения дополнительной информации об аутентификации и авторизации.
То, что OAuth делает в этом Passport, заключается в том, что он позволяет пользователям предоставлять доступ к своей личной информации. Он также позволяет пользователям разрешать или запрещать определенные привилегии (области действия в OAuth).
Заметьте, что существует много ароматов OAuth. Наиболее распространенной является версия с типами разрешений, которые видны при авторизации с помощью Facebook или Google. Но есть много других, включая указанную вами стратегию пароля владельца ресурса.