阅读更多

7顶
0踩

互联网

原创新闻 OAuth领导者:OAuth 2.0是一个糟糕的协议

2012-07-31 11:53 by 副主编 wangguo 评论(3) 有12223人浏览


近日OAuth 2.0协议的主要领导者和撰写者Eran Hammer已经从工作组辞职,并从规范中撤回了自己的名字,他在博客中称:
引用
OAuth 2.0是一个糟糕的协议,我不想再与它有任何关联。这是我职业生涯中最大的失望。在艰难的妥协之后,最终形成了一个不完整的规范,甚至未能达成两个主要的目标:安全性和互操作性。

对于OAuth 2.0和1.0,Eran指出,OAuth 2.0现在“更加复杂、更加不完整;更少的互操作性、更少的用处;最重要的是,更加不安全”,他称,精通Web安全的开发者或许可以创建出一个安全的实现方案,但是大部分开发者在安全方面并不是很精通,经验表明,他们也创建不出一个安全的实现。

Eran解释了2.0客户端令牌的体系结构变化,移除了所有协议级签名和加密,并添加了即将到期的令牌,因为当授权处理复杂化时令牌无法被撤销。

在最后,Eran称这是“一个有前途社区的一个悲哀的下场”,并称“将OAuth带到IETF(互联网工程任务组)是一个巨大的错误”。

Via Hueniverse
  • 大小: 20.5 KB
7
0
评论 共 3 条 请登录后发表评论
3 楼 wu2yong3jinh 2012-07-31 16:27
                                               
2 楼 liuwang126 2012-07-31 14:45

Eran您和我的想法一样,支持您!!!下面是我在新浪的forum上的关于oauth2.0发贴.

http://forum.open.weibo.com/read.php?tid=95510

我还是觉得1.0比较好.
1 楼 javagui 2012-07-31 13:02
作者的初衷是好的,但到了IETF由于各团体维护各自利益导致标准背离最初目标,就像提到的一样“在艰难的妥协之后,最终形成了一个不完整的规范”。

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

  • OAuth 2.0 授权认证详解

    点击关注公众号:互联网...上一篇:Alibaba开源内网高并发编程手册.pdf目录1、Auth2.0 协议简介2、OAuth 2.0的授权认证流程OAuth 2.0 的核心概念认证思路与流程3、OAuth2.0 的四种模式授权码模式(authorization c...

  • OAuth2.0 是什么?

    OAuth 框架设计的核心是授权这一概念,授权是指领导者授予下属一定的权力和责任,使下属在一定的监督下,有一定的自主权,去完成被授予的任务。实质是让别人去做原本属于自己的事情,自身仍有监督和最终的责任。...

  • oauth 2.0 php,PHP下的Oauth2.0尝试 - OpenID Connect

    OpenID ConnectOpenID Connect简介OpenID Connect是基于OAuth 2.0规范族的可互操作的身份验证协议。它使用简单的REST / JSON消息流来实现,和之前任何一种身份认证协议相比,开发者可以轻松集成。OpenID Connect允许...

  • 授权协议OAuth2.0——基础入门

    1.前言 前段时间公司取消了Android岗,在面临失业没有饭碗天天吃土的压迫下,我转岗变成JAVA工程师。...但是却能每次让我面临新的挑战,不论是转岗JAVA还是前端,就是这种挑战的感觉让我无法停止,如果有一天公司...

  • Spring Authorization Server入门 (一) 初识SpringAuthorizationServer和OAuth2.1协议

    Spring authorization server是由社区推动的一个项目,在Spring security团队的领导下基于Nimbus库重头编写,其目的主要是为 Spring 社区提供 OAuth 2.0 授权服务器支持,替代已被废弃的Spring Security OAuth框架。...

  • 西门子低代码实现单点登录(基于Oauth协议)

    基于Oauth协议,西门子低代码如何实现单点登录?

  • 网关协议——OpenID Connect(身份认证+OAuth2授权)入门指南

    OpenID Connect是基于OAuth 2.0规范族的可互操作的身份验证协议。它使用简单的REST / JSON消息流来实现,和之前任何一种身份认证协议相比,开发者可以轻松集成。 OpenID Connect允许开发者验证跨网

  • OAuth 2.0 扩展协议之 PKCE

    大家好,我是本期的实验室研究员——等天黑。...PKCE 全称是Proof Key for Code Exchange,在2015年发布,它是OAuth 2.0核心的一个扩展协议,所以可以和现有的授权模式结合使用,比如Authorization Code + PKCE,这.

  • 【OAuth2】11-认识SpringAuthorization Server

    在 Spring 的实验项目中启动,由 Spring Security 团队领导,其目的主要是为 Spring 社区提供 OAuth 2.0 授权服务器支持,并最终取代 Spring Security OAuth 。该项目使用 ZenHub 来确定功能路线图的优先次序,并...

  • 码农翻身讲网络4:从Token到Sessions说到OAuth认证和CAS单点登录

    干掉状态:从session到token   原创: 刘欣 码农翻身 2017-03-20 1 美好的旧时光 我经常怀念三十年前那美好的旧时光, 工作很...我的创造者们对我很好, 他们制定的一个简单HTTP协议, 就是请求加响应,...

  • OAuth2 vs JWT,到底怎么选?

    上一篇:Redis 如何简化实现微服务的设计模式?转自:乐傻驴链接:www.jianshu.com/p/1f2d6e5126cb本文会详细描述两种通用的保证API安全性的方法:OAuth2...

  • 大话微服务:大话微服务:Spring Cloud gateway+OAuth2 实现单点登录和权限控制(六)OAuth2 工作原理与代码机制分析等知识点总结

    OAuth: 是一个协议,为用户资源提供了一个安全的,开放,简单的标准,该标准让第三方无法接触到用户的账户信息。 Spring Security: 是一个spring 提供的安全框架。 Spring Security OAuth2: Spring 基于OAuth2协议...

  • cas sso oauth openid saml的联系与区别

    这几个设计用户认证、鉴权...单点登录是一个标准规范,用于解决多个系统重复建设用户认证管理功能,而是将用户身份认证集中管理应用场景。是一个规范标准。简单的 SSO 的体系中,会有下面三种角色:  1 , User

  • OAuth 开放授权 Open Authorization

    http://oauth.net/ http://tools.ietf.org/html/rfc6749 ... 网易通行证OAuth2.0认证文档 ...OAuth2.0认证分为3个步骤: 1)用户授权并获取code 2)使用code换取access_token 3)使用access...

  • 微服务 2.0 技术栈选型手册

    点击上方“码农突围”,马上关注这里是码农充电第一站,回复“666”,获取一份专属大礼包真爱,请设置“星标”或点个“在看”作者:杨波本文来源:http://t.cn/R14nyRW一、前言...

  • 微服务2.0技术栈选型手册

    2014年可以认为是微服务1.0的元年,当年有几个标志性事件,一是Martin Fowler在其博客上发表了“Microservices”一文,正式提出微服务架...

  • OAuth 2

    OAuth_2.0 协议第11修订版 - 中文版 [url=http://tools.ietf.org/html/draft-ietf-oauth-v2-31]The OAuth 2.0 Authorization Framework draft-ietf-oauth-v2-31[/url] [url=http://oauth.net/2/]OAuth 2官网[/url]...

  • java+sql server项目之科帮网计算机配件报价系统源代码.zip

    sql server+java项目之科帮网计算机配件报价系统源代码

  • 【java毕业设计】智慧社区老人健康监测门户.zip

    有java环境就可以运行起来 ,zip里包含源码+论文+PPT, 系统设计与功能: 文档详细描述了系统的后台管理功能,包括系统管理模块、新闻资讯管理模块、公告管理模块、社区影院管理模块、会员上传下载管理模块以及留言管理模块。 系统管理模块:允许管理员重新设置密码,记录登录日志,确保系统安全。 新闻资讯管理模块:实现新闻资讯的添加、删除、修改,确保主页新闻部分始终显示最新的文章。 公告管理模块:类似于新闻资讯管理,但专注于主页公告的后台管理。 社区影院管理模块:管理所有视频的添加、删除、修改,包括影片名、导演、主演、片长等信息。 会员上传下载管理模块:审核与删除会员上传的文件。 留言管理模块:回复与删除所有留言,确保系统内的留言得到及时处理。 环境说明: 开发语言:Java 框架:ssm,mybatis JDK版本:JDK1.8 数据库:mysql 5.7及以上 数据库工具:Navicat11及以上 开发软件:eclipse/idea Maven包:Maven3.3及以上

  • 【java毕业设计】智慧社区心理咨询平台(源代码+论文+PPT模板).zip

    zip里包含源码+论文+PPT,有java环境就可以运行起来 ,功能说明: 文档开篇阐述了随着计算机技术、通信技术和网络技术的快速发展,智慧社区门户网站的建设成为了可能,并被视为21世纪信息产业的主要发展方向之一 强调了网络信息管理技术、数字化处理技术和数字式信息资源建设在国际竞争中的重要性。 指出了智慧社区门户网站系统的编程语言为Java,数据库为MYSQL,并实现了新闻资讯、社区共享、在线影院等功能。 系统设计与功能: 文档详细描述了系统的后台管理功能,包括系统管理模块、新闻资讯管理模块、公告管理模块、社区影院管理模块、会员上传下载管理模块以及留言管理模块。 系统管理模块:允许管理员重新设置密码,记录登录日志,确保系统安全。 新闻资讯管理模块:实现新闻资讯的添加、删除、修改,确保主页新闻部分始终显示最新的文章。 公告管理模块:类似于新闻资讯管理,但专注于主页公告的后台管理。 社区影院管理模块:管理所有视频的添加、删除、修改,包括影片名、导演、主演、片长等信息。 会员上传下载管理模块:审核与删除会员上传的文件。 留言管理模块:回复与删除所有留言,确保系统内的留言得到及时处理。

Global site tag (gtag.js) - Google Analytics