OAuth 2.0

OAuth 2.0 是工业级标准授权协议。 OAuth 2.0 聚焦于客户端开发者便利性，为网页应用程序、桌面客户端、手机、客厅设备提供特定的授权流程。

RFC6749 OAuth 2.0 授权框架

RFC6750 OAuth 2.0 授权框架：使用 Bearer Token

OAutho 2.0 安全当前最佳实践——注意，此文档仅是草稿，很有可能随时会被替换或者被弃用。在这里引用的目的是为了提升对 OAuth 2.0 的理解和当前应用场景下 OAuth 2.0 存在的一些问题。

OAuth 2.1

OAuth 2.1 是一项正在努力中的工作。以巩固和简化 OAuth 2.0 中最常用的功能。

自从 2012 年发布初版 OAuth 2.0 （RFC6749）以来，几个新的征求意见稿（RFC）也发布了，要从核心规则中添加或移除功能。包括云原生 Apps OAuth 2.0（RFC8252）、PKCE、浏览器应用授权、OAutho 2.0 安全当前最佳实践。

和 OAuth 2.0 主要的不同如下：

• 所有使用授权码流程的客户端都需要 PKCE（Proof Key for Code Exchange）

• 必须使用精确字符串匹配来比较重定向 URI

• 从 OAuth 2.0 中删除隐式授权，也叫简单模式（response_type=token）

• 从 OAuth 2.0 中移除密码模式

• Bearer 令牌使用，移除在 URI 中 query 字符串中使用 Bearer 令牌

• 公共客户端刷新令牌必须受发送端限制或是一次性的

扩展阅读

• It's Time for OAuth 2.1