Was ist die Zukunft von OAuth 1?

Question

Ich werde damit beginnen, eine API für mein Open-Source-Projekt zu schreiben. Sollte ich mich für OAuth 2 zur Authentifizierung entscheiden oder für OAuth 1?

Meine größte Sorge bei OAuth 1 ist, dass ich keine Zeit investieren möchte, eine API darauf basierend zu schreiben, wenn OAuth 1 bald veraltet sein wird.

Meine Frage ist - Wird OAuth 1 bald veraltet sein? Außerdem denke ich, dass aus der Sicht des Endbenutzers der API OAuth 2 einfacher zu implementieren zu sein scheint.

Sollte ich einfach eine OAuth2-API schreiben und OAuth 1 vergessen, oder gibt es gute Gründe, momentan OAuth 1 zu verwenden?

Answer 1

Verwenden Sie OAuth 2.0. Es ist stabil und bereit für die Implementierung. Es gibt keinen Grund, warum jemand zu diesem Zeitpunkt OAuth 1.0 einsetzen sollte. 2.0 ist einfacher, sicherer und robuster.

Was 1.0 betrifft, das Protokoll ist veröffentlicht und jeder kann es so lange verwenden, wie er möchte. Es ist ein Informations-RFC und wird auch so bleiben. Allerdings wird 1.0 als veraltet markiert, sobald 2.0 veröffentlicht ist. Keine dieser IETF-Bürokratien sollte für Sie einen Unterschied machen.

Answer 2

OAuth 2 befindet sich im Entwurfsstadium (Stand heute, Entwurf 16), aber OAuth 1 ist bereits im RFC (RFC 5849).

Der Autorisierungsfluss von OAuth 2 ist einfacher als bei OAuth 1, aber möglicherweise müssen Sie sich für einen Entwurf entscheiden, den Sie implementieren möchten, und dabei bleiben. Wenn ein RFC für OAuth 2 veröffentlicht wird, müssen Sie sich danach richten.

Erweiterung: Wenn OAuth 1 veraltet wird, wird auch der RFC veraltet. Die IETF wird den RFC als "historisch" einstufen. Es besteht die Möglichkeit, dass sie OAuth 2 zu einem RFC machen und den OAuth 1 RFC historisieren. Bis dies geschieht, bleibt OAuth 1 bis heute gültig.

I hope this little info can help you.

Answer 3

Sie sollten an Ihre Benutzer (Entwickler) denken und basierend darauf eine geeignete API auswählen. Haben sie wahrscheinlich Erfahrung oder eine Vorliebe? Wenn nicht, tendiere ich zu OAuth2. Du könntest auch die Entscheidung basierend auf dem Typ der Organisation treffen, mit der du zu tun hast. Ich habe mit Leuten zu tun gehabt, die eine Vorliebe für ältere Protokolle haben, weil sie glauben, dass sie reifer und sicherer sind. Das ist nicht immer rational, aber manchmal ist es es wert, darüber nachzudenken.

Es gibt einige Informationen zu Design-Entscheidungen (warum eine neue Version?) Treibendes Oauth2 verfügbar.

Answer 4

Ich mache mir ernsthafte Sorgen um die Zukunft von OAuth. Seit Eran Hammer, einer der Gründer von OAuth, die Gruppe verlassen hat und später David Recordon ihm gefolgt ist.

Sie sind besorgt über die Sicherheit und Verwundbarkeit von OAuth 2.0. So beschrieb Hammer OAuth2.0:

komplexer, weniger interoperabel, weniger nützlich, unvollständiger und am wichtigsten, weniger sicher.

Vielleicht ist es an der Zeit, dass sich die OAuth-Nutzer SAML anschauen.