OAuth 2.0 - 通往地獄的路

人們常說，通往地獄的路往往都是處于好心鋪設的。我想 OAuth 2.0 就是這樣。

上個月我做了一個痛苦的決定，徹底和 OAuth 2.0 標準斷絕關系。我辭去了首席作者和編輯，從文檔中刪除了我的名字，并且離開了工作組。從一份你辛勤工作了三年，擁有幾十份草稿的文檔上刪除自己的名字并不容易。決定離開一個我領導了五年的項目十分的痛苦。

我做這個極端的決定并不是某一件事情引起的。這是一次由無數次的刀割引起的死亡。隨著工作接近尾聲，我越來越意識到 OAuth 2.0 是非常糟糕的協議。就像 WS-* 那些協議一樣的爛，爛到我不愿意跟它有任何牽扯。這是我職業生涯中最大的一次失望。

無數次的爭論，不管是在郵件列表，會議，還是特殊設計委員會，最后的結果是這份標準并沒有達到兩個最重要的目標 - 安全和互操作性。

和 OAuth 1.0 相比，2.0的標準更加的復雜，缺乏互操作性，不實用，不完整，最重要的是，不安全。說的更明確，OAuth 2.0 在一個對安全有深入理解的開發者手里會是不錯的。但是在大部分開發者手中，2.0的標準將會導致明顯不安全的結果。

譯者注：文章作者在原文中詳細講了造成這樣結果的原因，并且解釋了為什么 OAuth 2.0 的可擴展性毀了這個協議。作者也抱怨了 IETF 工作組的工作方式，他認為把 OAuth 帶入 IETF 就是一個巨大的錯誤。

I failed. We failed.

原文鏈接，OSChina.NET 編譯