Fatal编程技术网
  • oauth/
  • 我认为OAuth 1.0已经被弃用,取而代之的是OAuth 2.0,这对吗?

我认为OAuth 1.0已经被弃用,取而代之的是OAuth 2.0,这对吗?

oauth oauth-2.0

我认为OAuth 1.0已经被弃用,取而代之的是OAuth 2.0,这对吗?,oauth,oauth-2.0,Oauth,Oauth 2.0,我在互联网上寻找了一些关于这方面的信息,并最终访问了Oauth 1.0协议的RFC: 您可以在它的顶部阅读“Obsoletedby:6749”,如果您遵循该链接,您将最终进入OAuth 2.0授权框架RFC 基于此,我可以安全地推断OAuth 1.0已经被弃用,取而代之的是OAuth 2.0吗 谢谢。是的) 大多数公司使用2.0,例如: 重要提示:自4月20日起,OAuth 1.0已被正式弃用, 2012它将继续按照我们的弃用政策工作,但我们鼓励您尽快迁移到OAuth 2.0 但是也有一些使用1

我在互联网上寻找了一些关于这方面的信息,并最终访问了Oauth 1.0协议的RFC:

您可以在它的顶部阅读“Obsoletedby:6749”,如果您遵循该链接,您将最终进入OAuth 2.0授权框架RFC

基于此,我可以安全地推断OAuth 1.0已经被弃用,取而代之的是OAuth 2.0吗

谢谢。

是的)

大多数公司使用2.0,例如:

重要提示:自4月20日起,OAuth 1.0已被正式弃用, 2012它将继续按照我们的弃用政策工作,但我们鼓励您尽快迁移到OAuth 2.0

但是也有一些使用1.0或1.0a,正如您在OAuth服务提供商的章节列表中所看到的

还有一条官方信息表明1.0已被弃用

。。本规范取代并淘汰了OAuth 1.0 RFC 5849中描述的协议

RFC 5849是是和否

IETF发布了一个新版本的OAuth 2,淘汰了OAuth 1.x,并强烈建议新的身份验证提供者切换到OAuth 2

OAuth 1.0a有一个修订版,它修复了1.0中发现的许多安全缺陷,被广泛认为是迄今为止最安全的OAuth版本

OAuth2是一个全新的协议,与OAuth1.x不向后兼容。与OAuth 1相关的主要差异如下所示

然而,并不是每个人都对新标准感到满意。OAuth规范的主要作者和编辑Eran Hammer Lahav以这方面的原因辞去了委员会的职务

霍马科夫凭借在Github上的成功而声名鹊起

是的,OAuth 2已经正式取代了OAuth 1.x,但是在网络上,关于是应该使用OAuth 2还是坚持使用OAuth 1.0a,存在着相互矛盾的意见。

我真的不认为你可以说OAuth 1.0已经被反对而支持OAuth 2.0。如果1.0符合您的要求,您仍然可以使用它

2.0更适合大规模应用,就像Twitter所做的弃用,并将其API从1更改为1.1,以便使用新的OAuth,但这与Twitter有关。 在另一种情况下,可能是1.0。仍然工作完美,因此无需升级

OAuth2.0。必须做的更多像是使用公共加密、公钥。而且不是私人的,也不是好消息,因为这种方法多年来一直为人所知。 所以这就是为什么人们对这个问题仍然有不同的看法

在这里,在这里,我想你可以找到你想要的更有趣、更详细的信息。

你的问题的直接答案是。从:

本规范的目的是,新的实现支持本文档中指定的OAuth 2.0,并且OAuth 1.0仅用于支持现有部署

尽管我更喜欢OAuth2.0,并且已经实现了一个2.0授权服务器,并为规范做出了贡献,但我不能说其中一个比另一个更好。我相信2.0更容易使用

作为一个有用的协议,OAuth 1.0不是过时的或不相关的。从版本1.0a(RFC 5849是1.0a)开始,我知道没有任何漏洞使其安全性低于2.0,事实上,默认情况下,它可以说更安全。1.0同样能够处理大多数用例

OAuth 2.0与OAuth 1.0不兼容;这是一个全新的协议。推动2.0开发的设计决策本身并不是源于1.0的缺陷,而是2.0被证明是为了使OAuth更易于实现,并且对于1.0难以实现的用例(如本机应用程序)更优雅

有些差异可能值得注意:

  • 2.0依赖于TLS加密连接提供的安全性。1.0不需要TLS,因此协议更加复杂,因为它必须包含自己的防御措施,以防中间人攻击。例如,1.0依赖于访问受保护的资源,而2.0提供了更简单的访问令牌类型

  • 2.0将OAuth服务器分为两个部分:(1)授权服务器和(2)资源服务器。这种关注点分离很自然地适用于授权关注点分布在负责不同类型资源的许多服务器上的企业

  • 2.0区别于。公共客户端是那些在用户设备上运行的客户端,因此它们不能可靠地保守秘密(硬编码、嵌入式凭据)。区分机密客户机和公共客户机可以更容易地做出符合客户机应用程序开发人员需求的安全实施决策

  • 2.0引入了多个。每个授权类型都有自己的协议流,这些协议流使OAuth 2.0适用于多个用例和客户机类型

  • 2.0在扩展方面做了很大的努力。对定义新的访问令牌类型、授予类型和协议参数做出规定。例如,除了承载令牌,工作将进入和

这是主观的,但有人可能会说,OAuth 2.0试图为许多用例提供灵活性,其中OAuth 1.0要求开发人员将其用例放入一个更严格的框架中。

@dan-在您的链接OAuth 1.0协议中,我没有发现1.0在最顶层被弃用的信息,它说“已被淘汰:6749”-不是吗?出于安全考虑,1.0绝对不受欢迎,1.0a仍然可用,事实上,在使用中(例如Tweeter使用1.0a:)我想你不应该为这样的问题给出500:-)@Simon“你不应该为这样的问题给出500”-我完全同意。@dan那么你为什么这么做,dan?我只是好奇。我猜这个安法布家伙很幸运XD@chris-我一直在为雇用我的公司撰写一份重要的研究文件,我真的很想做一份出色的工作-这个问题