能否列举一下OAuth 2.0与以前版本的主要区别? 或者给我指点一个好的文档。(不是完整的OAuth 2.0协议草案;我没有时间阅读它。)
1个回答
8
1.0和2.0的主要区别是规模。其他方面都不太重要。2.0是为Google/Facebook/跨国电信规模而从头设计的,通过优化每个步骤和每个凭证来实现的。
在OAuth 1.0中,每个请求都需要两个密钥和复杂的请求规范化才能生成签名。它有一个破解的nonce/timestamp逻辑,没有人正确地实现它(业界最好的保密是Twitter可能是唯一一个使用15分钟时间戳时钟偏差来检查nonce值的提供者)。
OAuth 2.0更加诚实地处理桌面和移动客户端、注册要求和协议的限制。由于具有更大的需求列表和新的抽象层授权授予,规范有点更加复杂。
在OAuth 1.0中,每个请求都需要两个密钥和复杂的请求规范化才能生成签名。它有一个破解的nonce/timestamp逻辑,没有人正确地实现它(业界最好的保密是Twitter可能是唯一一个使用15分钟时间戳时钟偏差来检查nonce值的提供者)。
OAuth 2.0更加诚实地处理桌面和移动客户端、注册要求和协议的限制。由于具有更大的需求列表和新的抽象层授权授予,规范有点更加复杂。
- Eran Hammer
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接