OAuth 2.0 了解了,OAuth 2.1 呢?
OAuth 2.0
OAuth 2.0 是工业级标准授权协议。 OAuth 2.0 聚焦于客户端开发者便利性,为网页应用程序、桌面客户端、手机、客厅设备提供特定的授权流程。
RFC6749 OAuth 2.0 授权框架
RFC6750 OAuth 2.0 授权框架:使用 Bearer Token
OAutho 2.0 安全当前最佳实践——注意,此文档仅是草稿,很有可能随时会被替换或者被弃用。在这里引用的目的是为了提升对 OAuth 2.0 的理解和当前应用场景下 OAuth 2.0 存在的一些问题。
OAuth 2.1
OAuth 2.1 是一项正在努力中的工作。以巩固和简化 OAuth 2.0 中最常用的功能。
自从 2012 年发布初版 OAuth 2.0 (RFC6749)以来,几个新的征求意见稿(RFC)也发布了,要从核心规则中添加或移除功能。包括云原生 Apps OAuth 2.0(RFC8252)、PKCE、浏览器应用授权、OAutho 2.0 安全当前最佳实践。
和 OAuth 2.0 主要的不同如下:
所有使用授权码流程的客户端都需要 PKCE(Proof Key for Code Exchange)
必须使用精确字符串匹配来比较重定向 URI
从 OAuth 2.0 中删除隐式授权,也叫简单模式(response_type=token)
从 OAuth 2.0 中移除密码模式
Bearer 令牌使用,移除在 URI 中 query 字符串中使用 Bearer 令牌
公共客户端刷新令牌必须受发送端限制或是一次性的
扩展阅读
版权声明: 本文为 InfoQ 作者【Zhang】的原创文章。
原文链接:【http://xie.infoq.cn/article/f8602afbb3b0fbf72901c740a】。文章转载请联系作者。
评论