OAuth 2.1

datatracker.ietf.org/doc/html/draft-ietf-oauth-v2-1-11

OAuth 2.1 正在进行中的工作旨在整合和简化 OAuth 2.0 中最常用的功能。

自 2012 年原始发布 OAuth 2.0 (RFC 6749) 以来，已经发布了若干新的 RFC，它们或添加或移除核心规范中的功能，包括OAuth 2.0 for Native Apps (RFC 8252)、Proof Key for Code Exchange (RFC 7636)、OAuth for Browser-Based Apps和OAuth 2.0 Security Best Current Practice。

OAuth 2.1 整合了随后规范中发布的更改，以简化核心文档。

OAuth 2.0 的主要区别如下。

• 使用授权代码流的所有 OAuth 客户端都需要 PKCE
• 必须使用完全字符串匹配比较重定向 URI
• 此规范中省略了隐式授权 (response_type=token)
• 此规范中省略了资源所有者密码凭据授权
• 持有者令牌使用会省略在 URI 的查询字符串中使用持有者令牌
• 公共客户端的刷新令牌必须是发件人限定的或一次性使用的
• 公共和机密客户端的定义得到简化，现在仅引用客户端是否有凭据

更多资源

• 是 OAuth 2.1 的时候了（Aaron Parecki 著）
• OAuth 2.1 有哪些新内容？（Dan Moore，fusionauth.io）
• OAuth 2.1：需要多少个 RFC 才能改变一个灯泡？（Lee McGovern 著）
• OAuth 和 OpenID Connect 有哪些新内容？——Oktane Live（Aaron Parecki）
• OAuth 2 和 OAuth 2.1 之间的差异（Dan Moore 著）