点击链接http://hueniverse.com/2012/07/oauth-2-0-and-the-road-to-hell/。
令人困惑。有人建议可以吗
答案 0 :(得分:0)
一般来说,如果有标准,最好使用标准,因为它可以最大限度地降低风险,人们会一次又一次地犯同样的安全错误。因此,对于授权,您最好的选择是使用OAuth。
OAuth 1.0a或2.0的决定不是安全性低于安全性的决定。因此,如果您已经有一个工作(和安全)1.0a实现,那么就没有必要转向2.0。 If starting from scratch,我个人会选择2.0,因为我认为在客户端更容易实现。
OAuth 2.0当然好 可以安全使用,如果正确使用。但这也适用于OAuth 1.0a。
为了在提供商方面保证安全,两个版本都需要付出很多努力来理解规范并以安全的方式实现它,因为规范并没有强制你安全地实现它。但就是这样,安全性并不容易,需要付出很多努力。