最近,我一直在阅读有关OAuth(开放授权)协议的文章。我已经了解了以下几点: OAuth 1.0A: 它使用数字签名(缓解网络钓鱼),并建议使用TLS / SSL(缓解中间人攻击),以及几乎所有使用OAuth 1.0A的服务提供商正在使用TLS / SSL。由于实施了数字签名和TLS / SSL,OAuth 1.0A更加安全,免除了正确获取数字签名的艰辛。然而,许多人已经实现了OAuth 1.0A-悖论。 OAuth 2.0: 这是相对较新的方法,但与早期版本(即OAuth 1.0(A))完全不兼容,由于要使其正确100%面临困难,因此不使用数字签名,而是使用SSL / TLS和不记名令牌(即令牌的持有者可以做任何事情)。关于OAuth 2.0的最好之处在于,它区分了OAuth 1.0中全部合并在一起的不同授权流。非互操作性是OAuth 2.0的另一个问题(我想这会导致更多的分歧。
从到目前为止的经验来看,我发现OAuth 1.0A在许多方面都优于OAuth 2.0。现在,任何人都可以对此有所了解,为什么在OAuth 1.0A更好(最好是在它更安全的意义上)时鼓励使用OAuth 2.0。
谢谢。
小智 2
你最后的陈述有一件有趣的事情。“更好是因为它更安全”
这正是 OAuth 问题。他们使它变得如此复杂和安全,以至于许多人/应用程序无法直接使用它。OAuth 2.0 并不那么安全,但它的设计目的是易于处理。
| 归档时间: |
|
| 查看次数: |
1328 次 |
| 最近记录: |