OAuth 2.0 - 通往地狱的路 - 开源中国社区
Float_left Icon_close
OAuth 2.0 - 通往地狱的路
oschina 2012年07月29日

OAuth 2.0 - 通往地狱的路

oschina oschina 发布于2012年07月29日 收藏 14 评论 30

做APP,小程序就上开源众包。世界杯期间免费领2600元启动金。>>>  

人们常说,通往地狱的路往往都是处于好心铺设的。我想 OAuth 2.0 就是这样。

上个月我做了一个痛苦的决定,彻底和 OAuth 2.0 标准断绝关系。我辞去了首席作者和编辑,从文档中删除了我的名字,并且离开了工作组。从一份你辛勤工作了三年,拥有几十份草稿的文档上删除自己的名字并不容易。决定离开一个我领导了五年的项目十分的痛苦。

我做这个极端的决定并不是某一件事情引起的。这是一次由无数次的刀割引起的死亡。随着工作接近尾声,我越来越意识到 OAuth 2.0 是非常糟糕的协议。就像 WS-* 那些协议一样的烂,烂到我不愿意跟它有任何牵扯。这是我职业生涯中最大的一次失望。

无数次的争论,不管是在邮件列表,会议,还是特殊设计委员会,最后的结果是这份标准并没有达到两个最重要的目标 - 安全和互操作性。

和 OAuth 1.0 相比,2.0的标准更加的复杂,缺乏互操作性,不实用,不完整,最重要的是,不安全。说的更明确,OAuth 2.0 在一个对安全有深入理解的开发者手里会是不错的。但是在大部分开发者手中,2.0的标准将会导致明显不安全的结果。

译者注:文章作者在原文中详细讲了造成这样结果的原因,并且解释了为什么 OAuth 2.0 的可扩展性毁了这个协议。作者也抱怨了 IETF 工作组的工作方式,他认为把 OAuth 带入 IETF 就是一个巨大的错误。

I failed. We failed.

原文链接,OSChina.NET 编译

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:OAuth 2.0 - 通往地狱的路
分享
评论(30)
最新评论
0
为什么翻译了个头头就没了?
0
如果我写的客户端偷用sina weibo客户端的clientid会怎样(implicit、password模式)?
0
奇了怪了,我怎么觉得oauth2.0比1.0简单易用多了
0
最近刚运用了下,是有点繁琐,但安全问题没发现啊。。
0
神码东西?
0
求个全文翻译
0
个人觉得是演员,又不说理由,具体怎么不好,我用着挺好,求真相。
0
老了几家门户的认证方式,有点点区别,感觉不是很安全
0

引用来自“LimSteven”的评论

中国人画得漫画?瓜皮帽和雷锋帽都是中国特色呢。

奥特曼
0
OAuth2.0相比1.0的确流程简化了,原因是使用SSL来保证了数据安全性。个人使用的感受是,因为一直还处在草稿阶段,各家的用法和流程还不完全统一,因此有点小困扰。但按说不至于说一无是处
0
会成为烂尾工程么
0
不安全在那儿?
0

引用来自“LimSteven”的评论

中国人画得漫画?瓜皮帽和雷锋帽都是中国特色呢。

南方公园都不知道?你也挺有特色的
0

引用来自“LimSteven”的评论

中国人画得漫画?瓜皮帽和雷锋帽都是中国特色呢。

这是《南方公园》好吗?
0
伤不起啊。。。
0
中国人画得漫画?瓜皮帽和雷锋帽都是中国特色呢。
0
一直觉得这些协议是一种很危险的做法。比如某个网站做个抽奖,要求你认证发条消息的时候,没人意识到实际上已经把自己的微博权限完全开放给别人的。
好吧也也可以说这是用户自己的责任,这个世界还没做好接受它的准备。
0
太复杂,这一点就够被抛弃了
0
前两星期有写Oauth2认证, 是有点麻烦, 但是还没用过其他类似的, 所以也不好判断...
0
"A Camel is a Horse Designed by a Committee"

哈哈
顶部