Posté par __o .
En réponse à la dépêche API OAuth d'authentification.
Évalué à 10.
Dernière modification le 11 décembre 2011 à 23:24.
OAuth2 est beaucoup plus simple.
OAuth utilise une connexion HTTP en clair, et donc doit implémenter des techniques pour vérifier l'authenticité des messages, chiffrage, anti-replay, nonce, etc. Le résultat est que consommer une API OAuth est assez complexe et requière une bibliothèque.
OAuth2 laisse ce travail à TLS, et du coup le protocole est hyper simple. Côté client une bibliothèque HTTP est amplement suffisante pour consommer une API OAuth2.
Forcer l'utilisation de TLS n'est pas un problème pour le client, à mon avis, tant que le serveur a un certificat de confiance.
OAuth2 est utilisé par Facebook entre autres, ce qui fait que la catégorie de développeurs qui a déjà touché à OAuth1 a certainement déjà touché à OAuth2 aussi.
[^] # Re: OAuth 1.0 vs. 2.0 ?
Posté par __o . En réponse à la dépêche API OAuth d'authentification. Évalué à 10. Dernière modification le 11 décembre 2011 à 23:24.
OAuth2 est beaucoup plus simple.
OAuth utilise une connexion HTTP en clair, et donc doit implémenter des techniques pour vérifier l'authenticité des messages, chiffrage, anti-replay, nonce, etc. Le résultat est que consommer une API OAuth est assez complexe et requière une bibliothèque.
OAuth2 laisse ce travail à TLS, et du coup le protocole est hyper simple. Côté client une bibliothèque HTTP est amplement suffisante pour consommer une API OAuth2.
Forcer l'utilisation de TLS n'est pas un problème pour le client, à mon avis, tant que le serveur a un certificat de confiance.
OAuth2 est utilisé par Facebook entre autres, ce qui fait que la catégorie de développeurs qui a déjà touché à OAuth1 a certainement déjà touché à OAuth2 aussi.