Czy ktoś mógłby wyliczyć główne różnice między OAuth 2.0 a wcześniejszymi wersjami? Lub wskaż mi dobrą dokumentację. (Nie jest to pełna OAuth 2.0 Protocol draft; nie mam czasu, aby ją przeczytać.)OAuth 2.0 - Co nowego?
główną różnicą pomiędzy 1,0 a 2,0 jest skala. Wszystko inne jest znacznie mniej znaczące. 2.0 został zaprojektowany od podstaw dla skali Google/Facebook/Multinational-telecom, optymalizując każdy krok i każdą referencję.
W OAuth 1.0 każde żądanie wymaga dwóch sekretów i złożonej normalizacji żądania w celu wygenerowania podpisu. Ma złamaną logikę nonce/timestamp, której nikt nie implementuje właściwie (najlepiej strzeżoną tajemnicą w branży jest to, że Twitter jest prawdopodobnie jedynym dostawcą sprawdzającym wartości nonce z 15-minutowym przekręceniem zegara dla znaczników czasu).
OAuth 2.0 jest o wiele bardziej uczciwy w odniesieniu do klientów stacjonarnych i mobilnych, wymagań rejestracyjnych i ograniczeń protokołu. Specyfikacja jest nieco bardziej złożona ze względu na znacznie większą listę wymagań i nową warstwę abstrakcji zwaną autoryzacją.
Sprawdź ten artykuł na krótkie podsumowanie zmian wprowadzonych z OAuth 2.0 (i przyczynach zmian): http://hueniverse.com/2010/05/introducing-oauth-2-0/
Oto kolejny krótkie i czytelne podsumowanie: http://blog.apigee.com/detail/oauth_differences/
(Reasumując, bardziej prostota jest co nowego).
Ten wpis jest dość nieaktualny. Muszę to powtórzyć. –