Может ли кто-нибудь объяснить, что хорошего в OAuth2 и почему мы должны его реализовать? Я спрашиваю, потому что я немного смущен - вот мои текущие мысли:
Запросы OAuth1 (точнее, HMAC) кажутся логичными, понятными, легкими в разработке и действительно надежными.
OAuth2 вместо этого отправляет запросы авторизации, токены доступа и токены обновления, и вам нужно сделать 3 запроса в самом начале сеанса, чтобы получить данные, которые вы используете. И даже тогда одна из ваших запросов в конечном итоге закончится неудачей, когда истечет срок действия.
И чтобы получить еще один токен доступа, вы используете токен обновления, который был передан одновременно с токеном доступа. Это делает токен доступа бесполезным с точки зрения безопасности?
Плюс, как недавно показал /r/netsec, SSL не все полностью безопасно, поэтому нажимать на TLS/SSL вместо надежного HMAC меня смущает.
OAuth утверждают, что это не около 100% безопасности, а получение и публикация. Это не совсем похоже на перспективу с точки зрения поставщика. Я вижу, что пытается сделать проект, когда упоминает 6 разных потоков, но это просто не подходит мне в голову.
Я думаю, что это может быть больше, чем я пытаюсь понять это преимущества и рассуждения, чем на самом деле не нравится, так что это может быть немного необоснованной атакой, и извините, если это может показаться напыщенной.