保护用户账户的难点在用户自身，人才是最脆弱的

请教老师几个问题啊： Q1：在OAuth的三方关系图中（文章的第一个图），以“张三用微信号登录网易云音乐”为例。 张三、微信号、网易云音乐分别对应图中的哪一个？ 我的理解：网易云音乐 = 待授权的web应用；微信号(代表张三) = 授权用户； OAuth服务提供者：是一个第三方的验证机构。 A 我的理解是否对？ B 在此例总，OAuth服务提供者，是腾讯公司？还是独立的第三方机构？ Q2：访问令牌每次授权是不同的吗？ 文中这句话“然后待授权的 Web 应用就会收到一个唯一的访问令牌”， 这个访问令牌，这次用过后，下次再来访问，令牌会变化吗？ Q3：“客户端就可以使用这个令牌去调用相应的 API 接口”，这里“客户端”是指谁？ 是指用户吗？（比如张三） Q4：用户凭据是指什么？ 文中有一句话“第一个原则为注意验证用户的凭据，确保这个凭据只有用户拥有”。 用户凭据是指用户账号吗？

身份的识别，有哪些因素，哪些是必选，哪些是可选，ip，帐号，密码，预留问题，答案，验证码？