OAuth 2.0 - 通往地狱的路

oschina
 oschina
发布于 2012年07月29日
收藏 14

人们常说,通往地狱的路往往都是处于好心铺设的。我想 OAuth 2.0 就是这样。

上个月我做了一个痛苦的决定,彻底和 OAuth 2.0 标准断绝关系。我辞去了首席作者和编辑,从文档中删除了我的名字,并且离开了工作组。从一份你辛勤工作了三年,拥有几十份草稿的文档上删除自己的名字并不容易。决定离开一个我领导了五年的项目十分的痛苦。

我做这个极端的决定并不是某一件事情引起的。这是一次由无数次的刀割引起的死亡。随着工作接近尾声,我越来越意识到 OAuth 2.0 是非常糟糕的协议。就像 WS-* 那些协议一样的烂,烂到我不愿意跟它有任何牵扯。这是我职业生涯中最大的一次失望。

无数次的争论,不管是在邮件列表,会议,还是特殊设计委员会,最后的结果是这份标准并没有达到两个最重要的目标 - 安全和互操作性。

和 OAuth 1.0 相比,2.0的标准更加的复杂,缺乏互操作性,不实用,不完整,最重要的是,不安全。说的更明确,OAuth 2.0 在一个对安全有深入理解的开发者手里会是不错的。但是在大部分开发者手中,2.0的标准将会导致明显不安全的结果。

译者注:文章作者在原文中详细讲了造成这样结果的原因,并且解释了为什么 OAuth 2.0 的可扩展性毁了这个协议。作者也抱怨了 IETF 工作组的工作方式,他认为把 OAuth 带入 IETF 就是一个巨大的错误。

I failed. We failed.

原文链接,OSChina.NET 编译

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:OAuth 2.0 - 通往地狱的路
加载中

最新评论(30

shirne
shirne
为什么翻译了个头头就没了?
JerryLin
JerryLin
如果我写的客户端偷用sina weibo客户端的clientid会怎样(implicit、password模式)?
wangtan471x
wangtan471x
最近刚运用了下,是有点繁琐,但安全问题没发现啊。。
E
Equator
神码东西?
beves
beves
求个全文翻译
石楠烟斗
个人觉得是演员,又不说理由,具体怎么不好,我用着挺好,求真相。
y
ylmotol7
老了几家门户的认证方式,有点点区别,感觉不是很安全
vivid
vivid

引用来自“LimSteven”的评论

中国人画得漫画?瓜皮帽和雷锋帽都是中国特色呢。

奥特曼
feitiger
feitiger
OAuth2.0相比1.0的确流程简化了,原因是使用SSL来保证了数据安全性。个人使用的感受是,因为一直还处在草稿阶段,各家的用法和流程还不完全统一,因此有点小困扰。但按说不至于说一无是处
返回顶部
顶部