Oauth2.0与Oauth1.0的区别

Oauth1.0与oauth2.0的区别

云计算的热火，引出了大量的开放平台，各类第三方应用创建在开放平台之上，对于安全性的要求，因而出现了oauth协议，2007年发布了Oauth1.0协议，同时又开始了Oauth2.0的讨论，2.0的草案与2011年发布。新的2.0与1.0不兼容。下面说一说2.0与1.0的区别：

一、2.0的用户受权过程有2步，

         A)引导用户到受权服务器，请求用户受权，用户受权后返回 受权码(Authorization Code)

         B)客户端由受权码到受权服务器换取访问令牌(access token)

         C)用访问令牌去访问获得受权的资源

         1.0的受权分3步,

         A)客户端到受权服务器请求一个受权令牌(request token&secret)

         B)引导用户到受权服务器请求受权

         C)用访问令牌到受权服务器换取访问令牌(access token&secret)

         D)用访问令牌去访问获得受权的资源

二、1.0协议每一个token都有一个加密，2.0则不须要。这样来看1.0彷佛更加安全，可是2.0要求使用https协议，安全性也更高一筹。

三、2.0充分考虑了客户端的各类子态，于是提供了多种途径获取访问令牌

         a)受权码

         b)客户端私有证书

         c)资源拥有者密码证书

         d)刷新令牌

         e)断言证书

         1.0只有一个用户受权流程。

暂时总结出这三点。