人们常说,通往地狱的路往往是出于好心铺设的,我想 OAuth 2.0 就是这样。
上个月我做了一个痛苦的决定,彻底和 OAuth 2.0 标准断绝关系。我辞去了首席作者和编辑,从文档中删除了我的名字,并且离开了工作组。从一份你辛勤工作了三年,拥有几十份草稿的文档上删除自己的名字并不容易。决定离开一个我领导了五年的项目十分的痛苦。
我做这个极端的决定并不是某一件事情引起的,这是一次由无数次的刀割引起的死亡。随着工作接近尾声,我越来越意识到 OAuth 2.0 是非常糟糕的协议。就像 WS-* 那些协议一样的烂,烂到我不愿意跟它有任何牵扯。这是我职业生涯中最大的一次失望!
无数次的争论,不管是在邮件列表,会议,还是特殊设计委员会,最后的结果是这份标准并没有达到两个最重要的目标 - 安全和互操作性。
和 OAuth 1.0 相比,2.0的标准更加的复杂,缺乏互操作性,不实用,不完整,最重要的是,不安全。说的更明确,OAuth 2.0 在一个对安全有深入理解的开发者手里会是不错的。但是在大部分开发者手中,2.0的标准将会导致明显不安全的结果。
译者注:文章作者在原文中详细讲了造成这样结果的原因,并且解释了为什么 OAuth 2.0 的可扩展性毁了这个协议。作者也抱怨了 IETF 工作组的工作方式,他认为把 OAuth 带入 IETF 就是一个巨大的错误。
I failed. We failed.
原文链接:hueniverse.com
译文链接:开源中国
联系客服