OAuth 1的未来是什么?

时间:2011-05-28 14:54:44

标签: oauth oauth-2.0

我将开始为我的开源项目编写API。 我应该使用OAuth 2进行身份验证还是OAuth 1?

我对OAuth 1的主要关注点是,如果OAuth 1即将过时,我不想花时间编写基于它的API。

我的问题是 - OAuth 1很快就会过时吗?此外,我认为从最终用户的角度来看,OAuth 2似乎更容易实现。

我应该只编写OAuth2 API而忘记OAuth 1,还是有充分理由暂时使用OAuth 1?

4 个答案:

答案 0 :(得分:3)

使用OAuth 2.0。它很稳定,可以实施。此时没有理由任何人应该部署OAuth 1.0。 2.0更简单,更安全,更强大。

对于1.0,协议已发布,任何人都可以根据需要使用它。它是一个信息RFC,并将保持这种方式。但是,一旦2.0发布,1.0将被标记为过时。这个IETF官僚机构都不应该对你有任何不同。

答案 1 :(得分:2)

OAuth 2处于起草阶段(当前正在撰写,草案16),但OAuth 1已经在RFC(RFC 5849)中。

OAuth 2授权流程比OAuth 1更容易,但您可能遇到的是您必须选择要实施的草稿并坚持使用它。当OAuth 2的RFC发布时,您必须遵守它。

插件:如果OAuth 1已过时,则RFC将被废弃。 IETF将把RFC置于“历史性”状态。他们可能会将OAuth 2作为RFC并对OAuth 1 RFC进行历史化。在此之前,OAuth 1至今仍然有效。

我希望这些小信息可以帮到你。

答案 2 :(得分:1)

您应该考虑您的用户(开发人员)并根据它选择合适的API。他们可能有经验或偏好吗?如果不是,我倾向于去OAuth2。您可能还希望根据您正在处理的组织类型做出决定。我曾与那些偏爱旧协议的人打过交道,因为他们觉得这些协议更加成熟和安全。这并不总是理性的,但有时值得考虑。

有一些关于驱动Oauth2的设计决策(why a new version?)的信息。

答案 3 :(得分:1)

我非常担心OAuth的未来。自从OAran的创始人之一Eran Hammer离开小组后,David Recordon跟随他。

他们担心OAuth 2.0的安全性和漏洞。这就是Hammer所描述的OAuth2.0

  

更复杂,更少互操作,更少有用,更不完整,和   最重要的是,安全性较低。

可能是时候为OAuth用户查看SAML了。