3 é a resposta correta.
O seu servidor de autenticação autentica os utilizadores, o seu servidor de utilizador teria talvez melhor nome de "UserProfiles"
Você verá que muitos dos seus usuários serão pessoas com perfis, mas você também terá usuários de serviço para outras APIs ou talvez chaves de API simples, que também usam o servidor de autenticação para autenticar, mas não têm perfil correspondente.
Além disso, você provavelmente descobrirá que há muitos servidores e estruturas de autenticação prontos para uso que você pode usar, mas o UserProfile será personalizado de acordo com suas necessidades. Geralmente, é mais fácil adicionar um userid
a um perfil personalizado do que integrar um perfil personalizado a um banco de dados de autenticação predefinido