【发布时间】:2011-03-07 00:25:57
【问题描述】:
有人能列举 OAuth 2.0 和以前版本之间的主要区别吗?或者给我指出好的文档。 (不是完整的OAuth 2.0 Protocol draft;我没有时间阅读。)
【问题讨论】:
标签: security authentication oauth oauth-2.0
【发布时间】:2011-03-07 00:25:57
【问题描述】:
1.0 和 2.0 的主要区别在于规模。其他一切都不那么重要。 2.0 是针对 Google/Facebook/跨国电信规模从头开始设计的,通过优化每个步骤和每个凭证。
在 OAuth 1.0 中,每个请求都需要两个秘密和一个复杂的请求规范化来生成签名。它有一个损坏的 nonce/时间戳逻辑,没有人能正确实现(业内最好的秘密是 Twitter 可能是唯一一个检查时间戳为 15 分钟时钟偏差的 nonce 值的提供商)。
OAuth 2.0 在桌面和移动客户端、注册要求和协议限制方面更加诚实。由于更大的需求列表和称为授权授予的新抽象层,规范有点复杂。
【讨论】: