最近我一直在阅读有关OAuth(开放授权)协议的许多内容。我已经明白了以下几点: OAuth 1.0A: 它使用数字签名(减轻网络钓鱼)并建议使用TLS / SSL(减轻中间人攻击),几乎所有使用OAuth 1.0A的服务提供商都使用TLS / SSL。由于实施了数字签名和TLS / SSL,OAuth 1.0A更加安全,可以避免数字签名正确的困难时期。然而,许多人实施了OAuth 1.0A - 悖论。 OAuth 2.0: 这是相对较新的,但完全不兼容早期的(即OAuth 1.0(A)),由于100%正确使用SSL / TLS和承载令牌所面临的困难时期不使用数字签名(即令牌的持有者可以做任何事情)。关于OAuth 2.0的最佳之处在于它区分了OAuth 1.0中所有合并在一起的不同授权流程。非互操作性是OAuth 2.0的另一个问题(我猜它会导致更多分裂......我猜)。
从很多方面来说,我发现OAuth 1.0A比OAuth 2.0更好,这是我迄今为止所学到的。现在任何人都可以对此有所了解,为什么在OAuth 1.0A更好的时候鼓励OAuth 2.0(在更安全的意义上更好)。
感谢。
答案 0 :(得分:2)
你最后的陈述有一个有趣的事情。 “在更安全的意义上更好”
这正是OAuth问题。他们使它变得如此复杂和安全,以至于许多人/应用程序无法使用它。 OAuth 2.0并不安全,但它易于处理。