OAuth 2.0

OAuth 2.0 是用于认证的行业标准协议。OAuth 2.0 致力于简化客户端开发，同时为 Web 应用程序、桌面应用程序、移动电话和客厅设备提供特定的认证流程。此规范及其扩展正在 IETF OAuth 工作组 内展开。

OAuth 2.1 正在进行中，旨在以一个新名称整合 OAuth 2.0 和许多常见的扩展。

问题、建议和协议更改应在 邮件列表 中讨论。

OAuth 2.0

• OAuth 2.0 框架 - RFC 6749
  • 访问令牌
  • 刷新令牌
  • OAuth 范围
• OAuth 授权类型
  • 授权码
  • PKCE
  • 客户端凭证
  • 设备码
  • 刷新令牌
  • 旧版：隐式流程
  • 旧版：密码授权
• 客户端类型 - 机密和公共应用程序
• 客户端认证
• 持有者令牌 - RFC 6750
• 威胁模型和安全注意事项 - RFC 6819
• OAuth 安全最佳当前做法
• ID 令牌和访问令牌

移动和其他设备

• 原生应用程序 - 将 OAuth 用于原生应用程序的建议
• 基于浏览器的应用程序 - 将 OAuth 用于基于浏览器的应用程序（例如 SPA）的建议
• 设备授权授权 - 面向无浏览器或无键盘的设备的 OAuth

令牌和令牌管理

• 访问令牌的 JWT 配置文件 - RFC 9068，一种针对结构化访问令牌的标准
• 令牌自省 - RFC 7662，用于确定令牌的活动状态和元信息
• 令牌撤销 - RFC 7009，用于发出信号，表明先前获得的令牌不再需要
• JSON Web 令牌 - RFC 7519
• 令牌交换 - RFC 8693

发现和注册

• 授权服务器元数据 - RFC 8414，使客户端能够发现 OAuth 终端节点和授权服务器的功能
• 动态客户端注册 - RFC 7591，用于以编程方式注册 OAuth 客户端
• 动态客户端注册管理 - 实验性 RFC 7592，用于更新和管理动态注册的 OAuth 客户端

高安全性 OAuth

这些规范用于在 OAuth 2.0 基础上添加其他安全属性。

• 推送授权请求 (PAR) - RFC 9126
• 证明拥有 (DPoP) - RFC 9449
• 相互 TLS - RFC 8705
• 私钥 JWT - （RFC 7521、RFC 7521、OpenID）
• FAPI

实验和草案规范

以下规范处于实验或草案状态，仍是活跃的工作组事项。在它们最终确定为 RFC 或 BCP 之前，它们很可能会发生更改。

• 增量授权
• 分步身份验证挑战
• 所有 OAuth 工作组文档

其他扩展

• OAuth 扩展参数注册表
• OAuth 断言框架 - RFC 7521
• SAML2 持有者断言 - RFC 7522，用于与现有身份系统集成
• JWT 持有者断言 - RFC 7523
• 授权服务器颁发者标识 - RFC 9207，指示授权响应中的授权服务器标识符
• 丰富授权请求 (RAR) - RFC 9396

其他社区相关工作

• FAPI（OpenID 基金会）
• WebAuthn - Web 身份验证
• 通行密匙是一种无需密码即可登录服务的新方式
• HTTP 消息签名 -一种通用 HTTP 消息签名规范
• 用于可验证凭据的 OpenID

社区资源

• OAuth 2.0 简化
• 关于 OAuth 的书籍
  • OAuth 2.0 简化，作者：Aaron Parecki
  • OAuth 2 实战，作者：Justin Richer 和 Antonio Sanso
  • 精通 OAuth 2.0，作者：Charles Bihis
  • OAuth 2.0 食谱，作者：Adolfo Eloy Nascimento
• OAuth 的核心 - Aaron Parecki 的视频课程

建立在 OAuth 2.0 上的协议

• OpenID Connect（OpenID 基金会）
• UMA 2.0（Kantara）
• IndieAuth（W3C）

代码和服务

• OAuth 2.0 代码和服务

OAuth 2.1

• OAuth 2.1 - 一个正在进行的更新，用于整合和简化 OAuth 2.0
• 是时候推出 OAuth 2.1 了（作者：Aaron Parecki）

旧版

• OAuth 1.0 和 1.0a