OAuth 2.0 - 通往地狱的路
openkk 12年前
<p><img alt="OAuth 2.0 - 通往地狱的路" src="https://simg.open-open.com/show/89e51c6ef0781ca7f4acd401746767ed.png" width="300" height="298" /></p> <p>人们常说,通往地狱的路往往都是处于好心铺设的。我想 OAuth 2.0 就是这样。</p> <p>上个月我做了一个痛苦的决定,彻底和 OAuth 2.0 标准断绝关系。我辞去了首席作者和编辑,从文档中删除了我的名字,并且离开了工作组。从一份你辛勤工作了三年,拥有几十份草稿的文档上删除自己的名字并不容易。决定离开一个我领导了五年的项目十分的痛苦。</p> <p>我做这个极端的决定并不是某一件事情引起的。这是一次由无数次的刀割引起的死亡。随着工作接近尾声,我越来越意识到 OAuth 2.0 是非常糟糕的协议。就像 WS-* 那些协议一样的烂,烂到我不愿意跟它有任何牵扯。这是我职业生涯中最大的一次失望。</p> <p>无数次的争论,不管是在邮件列表,会议,还是特殊设计委员会,最后的结果是这份标准并没有达到两个最重要的目标 - 安全和互操作性。</p> <p>和 OAuth 1.0 相比,2.0的标准更加的复杂,缺乏互操作性,不实用,不完整,最重要的是,不安全。说的更明确,OAuth 2.0 在一个对安全有深入理解的开发者手里会是不错的。但是在大部分开发者手中,2.0的标准将会导致明显不安全的结果。</p> <p><em><strong>译者注:</strong>文章作者在原文中详细讲了造成这样结果的原因,并且解释了为什么 OAuth 2.0 的可扩展性毁了这个协议。作者也抱怨了 IETF 工作组的工作方式,他认为把 OAuth 带入 IETF 就是一个巨大的错误。</em></p> <p>I failed. We failed.</p> <p><img alt="OAuth 2.0 - 通往地狱的路" src="https://simg.open-open.com/show/d088ac2d0f7840f203e9ce08e63d563e.jpg" width="400" height="177" /></p> <p><a href="/misc/goto?guid=4958349545098154946" target="_blank">原文链接</a>,OSChina.NET 编译</p>