Sự khác biệt chính giữa OpenID và OAuth nằm ở mục đích sử dụng của chúng. OpenID được thiết kế chủ yếu để xác thực người dùng (authentication), tức là xác định danh tính của người dùng đang truy cập vào ứng dụng. Trong khi đó, OAuth chủ yếu nhằm mục đích ủy quyền (authorization), cho phép ứng dụng truy cập vào tài nguyên của người dùng mà không cần biết mật khẩu của họ[1][3][4].
OpenID Connect (OIDC), một tiêu chuẩn xác thực được phát triển dựa trên OAuth2, kết hợp cả hai mục đích xác thực và ủy quyền bằng cách sử dụng ID token để đại diện cho thông tin về danh tính của người dùng[1]. OAuth2 không cung cấp ID token mà chỉ sử dụng access token để ủy quyền truy cập tài nguyên[1].
Ngoài ra, trong quá trình hoạt động, OAuth2 sử dụng scopes để yêu cầu quyền truy cập vào tài nguyên cụ thể từ người dùng, trong khi OIDC sử dụng một số scopes đặc biệt như "openid", "profile", "email" để yêu cầu thông tin người dùng cụ thể từ authorization server[1].
