Quelqu'un pourrait énumérer les principales différences entre OAuth 2.0 et les versions précédentes? Ou pointez-moi vers une bonne documentation. (Pas le plein OAuth 2.0 Protocol draft, je n'ai pas le temps de le lire.)OAuth 2.0 - Quoi de neuf?
La principale différence entre 1,0 et 2,0 est l'échelle. Tout le reste est beaucoup moins significatif. 2.0 a été conçu à partir de zéro pour l'échelle Google/Facebook/Multinational-telecom en optimisant chaque étape et chaque accréditation.
Dans OAuth 1.0, chaque requête nécessite deux secrets et une normalisation de requête complexe pour produire la signature. Il a une logique brisée de nonce/horodatage que personne n'implémente correctement (le secret le mieux gardé dans l'industrie est que Twitter est probablement le seul fournisseur à vérifier les valeurs de nonce avec un décalage d'horloge de 15 minutes pour les horodatages).
OAuth 2.0 est beaucoup plus honnête sur les clients de bureau et mobiles, les exigences d'enregistrement et les limites du protocole. La spécification est un peu plus complexe en raison de la plus grande liste d'exigences et de la nouvelle couche d'abstraction appelée autorisation d'autorisation.
Vérifiez cet article pour un bref résumé des changements introduits avec OAuth 2.0 (et les raisons pour les changements): http://hueniverse.com/2010/05/introducing-oauth-2-0/
Voici une autre court et résumé lisible: http://blog.apigee.com/detail/oauth_differences/
(Pour résumer, plus de simplicité est ce qui est nouveau.)
Ce post est plutôt obsolète. J'ai besoin de le revoir. –