为什么要有2.0版本？

前面的文章说了OAuth1.0，怎么又突然冒出一个2.0呢？我查阅了一些文档，主要是这些原因：

1. 签名算法太复杂

还记得1.0里面需要对一堆必须的参数排序，编码，然后用secret去签名吧

2. 获取token的方式单一

就一种方式

3. 性能和可伸缩性比较差

由于验证和受保护资源都在一台服务器上。（这个。。。感觉有点牵强，应该也可以分离的）

2.0的改进

针对以上问题，2.0做了以下改进：

1. 角色分离

将认证服务器和资源服务器分开，功能更加清晰，性能和可伸缩性也更好。

2. 去除签名

对，任何签名都不需要了。但必须使用HTTPS安全通道。

3. 多种获取token的方式

a) 认证码授权（Authorization Code Grant）

1.0的简化版，客户端需要引导用户跳转到授权服务器提供的授权页面，用户输入密码，同意授权，授权服务器返回给客户端认证码，客户端用认证码去验证服务器换取访问码（Access Token）。

流程图，用新浪的：

b) 隐式授权（Implicit Grant）

客户端javascript获得资源的一种方式，一次请求即直接获取token。

c) 用户密码对授权（Resource Owner Password Credentials Grant）

用户在完全信任第三方客户端的情况下，把密码提供给客户端，客户端到认证服务器一次性换取访问码（Access Token）。

还有其他的一些方式了，具体可参考RFC。

4. 访问码（Access Token）过期

2.0里，访问码（Access Token）会有过期时间，但过期之后，客户端可以它换取新的访问码（Access Token），这样设计被认为安全。

总结

2.0版本的OAuth还处于draft阶段，但是有很多公司已经采用了，比如：google, facebook, linkin等，国内比如：新浪微博，腾讯微博。

看来大家还是比较看好的，可能确实1.0太复杂了吧。

参考文章：

1. Introducing OAuth 2.0

2. The OAuth 2.0 Authorization Protocol draft-ietf-oauth-v2-23