最近,我一直在阅读有关OAuth(开放授权)协议的文章。我已经了解了以下几点: OAuth 1.0A: 它使用数字签名(缓解网络钓鱼),并建议使用TLS / SSL(缓解中间人攻击),以及几乎所有使用OAuth 1.0A的服务提供商正在使用TLS / SSL。由于实施了数字签名和TLS / SSL,OAuth 1.0A更加安全,免除了正确获取数字签名的艰辛。然而,许多人已经实现了OAuth 1.0A-悖论。 OAuth 2.0: 这是相对较新的方法,但与早期版本(即OAuth 1.0(A))完全不兼容,由于要使其正确100%面临困难,因此不使用数字签名,而是使用SSL / TLS和不记名令牌(即令牌的持有者可以做任何事情)。关于OAuth 2.0的最好之处在于,它区分了OAuth 1.0中全部合并在一起的不同授权流。非互操作性是OAuth 2.0的另一个问题(我想这会导致更多的分歧。
从到目前为止的经验来看,我发现OAuth 1.0A在许多方面都优于OAuth 2.0。现在,任何人都可以对此有所了解,为什么在OAuth 1.0A更好(最好是在它更安全的意义上)时鼓励使用OAuth 2.0。
谢谢。
oauth ×1