我将开始为我的开源项目编写API。 我应该使用OAuth 2进行身份验证还是OAuth 1?
我对OAuth 1的主要关注点是,如果OAuth 1即将过时,我不想花时间编写基于它的API。
我的问题是 - OAuth 1很快就会过时吗?此外,我认为从最终用户的角度来看,OAuth 2似乎更容易实现。
我应该只编写OAuth2 API而忘记OAuth 1,还是有充分理由暂时使用OAuth 1?
答案 0 :(得分:3)
使用OAuth 2.0。它很稳定,可以实施。此时没有理由任何人应该部署OAuth 1.0。 2.0更简单,更安全,更强大。
对于1.0,协议已发布,任何人都可以根据需要使用它。它是一个信息RFC,并将保持这种方式。但是,一旦2.0发布,1.0将被标记为过时。这个IETF官僚机构都不应该对你有任何不同。
答案 1 :(得分:2)
OAuth 2处于起草阶段(当前正在撰写,草案16),但OAuth 1已经在RFC(RFC 5849)中。
OAuth 2授权流程比OAuth 1更容易,但您可能遇到的是您必须选择要实施的草稿并坚持使用它。当OAuth 2的RFC发布时,您必须遵守它。
插件:如果OAuth 1已过时,则RFC将被废弃。 IETF将把RFC置于“历史性”状态。他们可能会将OAuth 2作为RFC并对OAuth 1 RFC进行历史化。在此之前,OAuth 1至今仍然有效。
我希望这些小信息可以帮到你。
答案 2 :(得分:1)
您应该考虑您的用户(开发人员)并根据它选择合适的API。他们可能有经验或偏好吗?如果不是,我倾向于去OAuth2。您可能还希望根据您正在处理的组织类型做出决定。我曾与那些偏爱旧协议的人打过交道,因为他们觉得这些协议更加成熟和安全。这并不总是理性的,但有时值得考虑。
有一些关于驱动Oauth2的设计决策(why a new version?)的信息。
答案 3 :(得分:1)
我非常担心OAuth的未来。自从OAran的创始人之一Eran Hammer离开小组后,David Recordon跟随他。
他们担心OAuth 2.0的安全性和漏洞。这就是Hammer所描述的OAuth2.0
更复杂,更少互操作,更少有用,更不完整,和 最重要的是,安全性较低。
可能是时候为OAuth用户查看SAML了。