为什么要有2.0版本?前面的文章说了OAuth1.0,怎么又突然冒出一个2.0呢?我查阅了一些文档,主要是这些原因: 1. 签名算法太复杂还记得1.0里面需要对一堆必须的参数排序,编码,然后用secret去签名吧 2. 获取token的方式单一就一种方式 3. 性能和可伸缩性比较差由于验证和受保护资源都在一台服务器上。(这个。。。感觉有点牵强,应该也可以分离的) 2.0的改进针对以上问题,2.0做了以下改进: 1. 角色分离将认证服务器和资源服务器分开,功能更加清晰,性能和可伸缩性也更好。 2. 去除签名对,任何签名都不需要了。但必须使用HTTPS安全通道。 3. 多种获取token的方式a) 认证码授权(Authorization Code Grant )1.0的简化版,客户端需要引导用户跳转到授权服务器提供的授权页面,用户输入密码,同意授权,授权服务器返回给客户端认证码,客户端用认证码去验证服务器换取访问码(Access Token)。 流程图,用新浪的: b) 隐式授权(Implicit Grant)客户端javascript获得资源的一种方式,一次请求即直接获取token。 c) 用户密码对授权(Resource Owner Password Credentials Grant)用户在完全信任第三方客户端的情况下,把密码提供给客户端,客户端到认证服务器一次性换取访问码(Access Token)。 还有其他的一些方式了,具体可参考RFC。 4. 访问码(Access Token)过期2.0里,访问码(Access Token)会有过期时间,但过期之后,客户端可以它换取新的访问码(Access Token),这样设计被认为安全。 总结2.0版本的OAuth还处于draft阶段,但是有很多公司已经采用了,比如:google, facebook, linkin等,国内比如:新浪微博,腾讯微博。 看来大家还是比较看好的,可能确实1.0太复杂了吧。 参考文章:2. The OAuth 2.0 Authorization Protocol draft-ietf-oauth-v2-23
|
|
来自: Jo_Shang > 《facebook》