人们常说，通往地狱的路往往是出于好心铺设的，我想 OAuth 2.0 就是这样。

上个月我做了一个痛苦的决定，彻底和 OAuth 2.0 标准断绝关系。我辞去了首席作者和编辑，从文档中删除了我的名字，并且离开了工作组。从一份你辛勤工作了三年，拥有几十份草稿的文档上删除自己的名字并不容易。决定离开一个我领导了五年的项目十分的痛苦。

我做这个极端的决定并不是某一件事情引起的，这是一次由无数次的刀割引起的死亡。随着工作接近尾声，我越来越意识到 OAuth 2.0 是非常糟糕的协议。就像 WS-* 那些协议一样的烂，烂到我不愿意跟它有任何牵扯。这是我职业生涯中最大的一次失望！

无数次的争论，不管是在邮件列表，会议，还是特殊设计委员会，最后的结果是这份标准并没有达到两个最重要的目标 - 安全和互操作性。

和 OAuth 1.0 相比，2.0的标准更加的复杂，缺乏互操作性，不实用，不完整，最重要的是，不安全。说的更明确，OAuth 2.0 在一个对安全有深入理解的开发者手里会是不错的。但是在大部分开发者手中，2.0的标准将会导致明显不安全的结果。

译者注：文章作者在原文中详细讲了造成这样结果的原因，并且解释了为什么 OAuth 2.0 的可扩展性毁了这个协议。作者也抱怨了 IETF 工作组的工作方式，他认为把 OAuth 带入 IETF 就是一个巨大的错误。

I failed. We failed.

原文链接：hueniverse.com

译文链接：开源中国