“资源所有者”一词在OAuth v2.0规范中被定义为“能够授予对受保护资源访问权限的实体。当资源所有者是人时,它被称为最终用户。”
我的问题是,什么情况下资源所有者不是最终用户?我希望通过真实用例的解释来理解。例如,如果受保护的资源是Facebook用户的照片,那么资源所有者是Facebook还是上传照片的Facebook用户?此外,如果这个人不是OAuth实施的应用程序的用户,为什么资源所有者(也是一个人)被认为是最终用户呢?如果Facebook用户是资源所有者,那么Facebook在这个交换中扮演什么角色?