我正在互联网上寻找一些有关这方面的信息,最后是 The Oauth 1.0 Protocol 的RFC:http://tools.ietf.org/html/rfc5849
您可以在其顶部阅读“已废弃:6749”,如果您按照该链接进行操作,则最终会使用 OAuth 2.0授权框架 RFC。
基于此,我是否可以安全地推断OAuth 1.0已被弃用以支持OAuth 2.0?
感谢。
答案 0 :(得分:22)
是和否。
IETF发布了OAuth 2的新版本,淘汰了OAuth 1.x,强烈建议新的Auth提供商切换到OAuth2。
对OAuth 1.0a进行了修订,修复了1.0中发现的许多安全漏洞,并被广泛认为是最安全的OAuth版本。
OAuth2是一个全新的协议,并不向后兼容OAuth 1.x.有关OAuth 1的主要差异在此thread中列出。
然而,并非所有人都对新标准感到满意。 OAuth规范的主要作者和编辑Eran Hammer-Lahav在委员会中引用了blog post中的理由而辞职。
Homakov,凭借对Github的利用而成名,has not so nice things to say about OAuth 2。
所以,是的,OAuth 2正式取代了OAuth 1.x,但网上是否应该使用OAuth2或坚持使用OAuth 1.0a存在相互矛盾的意见。
答案 1 :(得分:5)
是)
大多数公司使用2.0 - 例如google:
重要提示:截至4月20日,OAuth 1.0已被正式弃用, 2012.它将继续按照我们的弃用政策运作,但我们建议您尽快迁移到OAuth 2.0。
但有一些使用1.0或1.0a,因为您可以在 OAuth服务提供商列表
一章中看到wiki: OAuth还有一个官方消息,1.0已被弃用RFC 6749: The OAuth 2.0 Authorization Framework
..此规范取代并废弃了OAuth 1.0 RFC 5849中描述的协议。
RFC 5849是The OAuth 1.0 Protocol
答案 2 :(得分:4)
您问题的直接答案是是。来自OAuth 2.0 spec:
本规范的目的是新实现支持本文档中指定的OAuth 2.0,并且OAuth 1.0仅用于支持现有部署。
虽然我更喜欢OAuth 2.0,并且已经实现了2.0授权服务器并对规范做出了贡献,但我不能说一个比另一个好。我相信2.0更容易使用。
作为一种有用的协议,OAuth 1.0不会过时或无关紧要。从版本1.0a(RFC 5849是1.0a)开始,我知道没有任何漏洞使其安全性低于2.0,事实上它默认情况下更安全。 1.0就像处理大多数用例一样。
OAuth 2.0与OAuth 1.0不兼容;这是一个全新的协议。推动2.0开发的设计决策并没有植根于1.0,本身的缺陷,而是2.0的出现是为了让OAuth更易于实现,而且更优雅的用例是很难为1.0(例如本机应用程序)。
可能值得注意的一些差异:
2.0依赖于TLS加密连接提供的安全性。 1.0不需要TLS,因此协议更复杂,因为它必须包含自己的防御中间人攻击。例如,1.0依靠signed requests访问受保护资源,而2.0提供多更简单Bearer访问令牌类型。
2.0将OAuth服务器拆分为两个conceptual roles :( 1)授权服务器和(2)资源服务器。这种关注点的分离自然适合那些授权问题分散在负责不同类型资源的许多服务器上的企业。
2.0区分confidential and public clients。公共客户端是那些在用户设备上运行的客户端,因此它们无法可靠地保密(硬编码,嵌入式凭证)。区分机密客户端和公共客户端可以更轻松地做出适合客户端应用程序开发人员需求的安全实施决策。
2.0引入了多个authorization grant types。每种授权类型都有自己的协议流程,这些协议流程使OAuth 2.0适用于多种用例和客户端类型。
2.0努力实现可扩展性。 Section 8 of the spec为定义新的访问令牌类型,授权类型和协议参数做出了规定。例如,除了承载令牌,工作还会进入MAC tokens和JWT bearer tokens。
这是主观的,但有人可能会说OAuth 2.0试图灵活处理许多用例,其中OAuth 1.0要求开发人员将其用例纳入更严格的框架。
答案 3 :(得分:1)
我真的不认为你可以说OAuth 1.0已经被弃用而不支持OAuth 2.0。如果符合您的要求,您仍然可以使用1.0。
2.0更适合大规模,比如Twitter做了弃用并将其API从1改为1.1,所以要使用新的OAuth,但这与twitter有关。 在另一个案例中可能是1.0。仍然很完美,所以不需要升级。
OAuth 2.0。公共加密,公钥必须做得更多。而不是私人的,不是好消息,因为这种方法现在已知多年了。 所以,就是好还是坏,仍然存在不同的意见。
此处Oauth2.0 and the road to hell,此处OAuth 2.0'bad'我认为您可以找到更多有趣和详细的信息。