OAuth 2.0定义了以下用户和应用程序角色：

• 资源所有者
• 资源服务器
• 客户申请
• 授权服务器

资源所有者是拥有要共享数据的个人或者应用程序。例如，Facebook或者Google上的用户可以是资源所有者。他们拥有的资源就是他们的数据。图中将资源所有者描述为一个人，这可能是最常见的情况。资源所有者也可以是应用程序。 OAuth 2.0规范提到了两种可能性。

资源服务器是托管资源的服务器。例如，Facebook或者Google是资源服务器(或者具有资源服务器)。

客户端应用程序是请求访问存储在资源服务器上的资源的应用程序。资源，由资源所有者拥有。客户端应用程序可以是请求访问用户Facebook帐户的游戏。

授权服务器是授权客户端应用访问资源所有者资源的服务器。授权服务器和资源服务器可以是同一台服务器，但不是必须的。如果这两个服务器是分开的，则OAuth 2.0规范没有说明这两个服务器应该如何通信。这是资源服务器+授权服务器开发人员要做出的内部设计决策。