Zum Erstaunen der Webentwicklerwelt hat die Internet Engineering Task Force (IETF) heute den ersten Entwurf zum neuen HTTP-2.0-Standard vorgelegt. So schnell hatte wohl niemand mit der Spezifikation gerechnet,
Wie schon beschrieben, basiert der Standardautorisierungsmechanismus von OAuth2 auf der Nutzung von Bearer Tokens in Verbindung mit der sicheren Übertragung über TLS/SSL.
Aus den selben Gründen wie bei OAuth1, funktioniert auch das OAuth2 Web Profile nicht für JavaScript-basierte Webanwendungen, da auch hier vorausgesetzt wird, dass ein Client Secret sicher vorgehalten wird, was im per Definition offenen JavaScript-Code nicht möglich ist.
OAuth1 bringt aber auch ein paar Probleme mit. Das Größte ist, dass es sich nur für Standardwebanwendungen wirklich eignet. In den letzten Jahren sind aber mobile Anwendungen immer wichtiger geworden.
Das OAuth-Protokoll hat sich in den letzten Jahren zum De-facto-Standard der Clientautorisierung bei APIs entwickelt und wird von vielen großen Anbietern wie Facebook, Twitter oder Google verwendet. Grund genug, sich einmal näher damit zu beschäftigen, wie OAuth eigentlich genau funktioniert, welche Probleme es mit sich bringt, und wie diesen in der nächsten Version der Spezifikation, OAuth2, begegnet wird.
Tim Bray hat sich Eran Hammers lauten Abschied vom OAuth-Entwicklerteam mitsamt des Echos näher angeschaut. Er selbst hat viel mit OAuth 2 gearbeitet und beobachtet, dass etliche Google-APIs nur darüber
Eran Hammer verlässt nach über fünf Jahren das OAuth-Team und bezeichnet seine Tätigkeit dort als "größte berufliche Enttäuschung [s]einer Karriere". Das Projekt, so berichtet er, wurde in Mailing-Listen
