В чем разница между OAuth 2.0 и 2.1?

Question

В чем разница между OAuth 2.0 и 2.1?

Я просто смотрел на сервер авторизации Spring и заметил, что он упоминает OAuth 2.1.

1

oauth-2.0 oauth-2.1

Источник

user8253209 12 мар '22 в 13:12

1 ответ

Другие вопросы по тегам oauth-2.0 oauth-2.1

user8253209 12 мар '22 в 13:23 2022-03-12 13:23 · Answer 1 · 2022-03-12 13:23

Спецификация OAuth 2.1 в настоящее время находится в состоянии черновика. Из-за этого в настоящее время неясно, каковы будут окончательные отличия.

См. текущий проект: https://datatracker.ietf.org/doc/html/draft-ietf-oauth-v2-1-05 .

Выдержка из текущего проекта:

Этот проект объединяет функциональные возможности OAuth 2.0 [RFC6749],OAuth 2.0 для собственных приложений ([RFC8252]), Proof Key для Code Exchange([RFC7636]), OAuth 2.0 для браузерных приложений ([ID.ietf-oauth-browser-based-apps]), передовой опыт безопасности OAuth ([ID.ietf-oauth-security-topics]) и использование токена носителя ([RFC6750]).

Если более поздний черновик обновляет или устаревает функциональные возможности исходного [RFC6749], эта функциональность в этом черновике обновляется с учетом нормативных изменений, описанных в более позднем черновике, или полностью удаляется.

Ненормативный список изменений по сравнению с OAuth 2.0 приведен ниже:

Предоставление кода авторизации расширено функциональностью PKCE ([RFC7636]), так что метод по умолчанию использования предоставления кода авторизации в соответствии с этой спецификацией требует добавления параметров PKCE.

URI перенаправления необходимо сравнивать с использованием точного совпадения строк в соответствии с разделом 4.1.3 документа [ID.ietf-oauth-security-topics].

Неявное предоставление (response_type=token) исключено из этой спецификации в соответствии с разделом 2.1.2 [ID.ietf-oauth-security-topics].

Предоставление учетных данных владельца ресурса исключено из этой спецификации в соответствии с разделом 2.4 [ID.ietf-oauth-security-topics].

Использование токена носителя исключает использование токенов носителя в строке запроса URI в соответствии с разделом 4.3.2 [ID.ietf-oauth-security-topics].

Токены обновления для общедоступных клиентов должны либо ограничиваться отправителем, либо использоваться однократно в соответствии с разделом 4.12.2 документа [ID.ietf-oauth-security-topics].

См.: https://datatracker.ietf.org/doc/html/draft-ietf-oauth-v2-1-05#section-10 .