OAuth

Единственный аргумент в пользу OAuth 1.0, который я нашёл для себя — это тот факт, что Twitter до сих пор поддерживает только его.

В остальном, не вижу смысла усложнять себе жизнь монструозными конструкциями OAuth 1.0.

Мне было бы удобнее, если бы ты сделал 1.0. Так как у меня есть готовые библиотеки и т.п., для быстрого подключения к сайту.

Кстати да, если нет возможности использовать SSL, то OAuth 2.0 не безопасен. Но вряд ли это проблема в случае соцсети.

Единственный аргумент в пользу OAuth 1.0, который я нашёл для себя — это тот факт, что Twitter до сих пор поддерживает только его.

А является критерием при организации у себя провайдера, как реализовали его у себя Fb, Google, Twitter, e.t.c.?

Также не очень понятно, чем грозит неустаканившийся стандарт 2.0.

Нормального анализа безопасности не смог найти. Один из разработчиков стандарта громко хлопнул дверью после 3-х лет разработки 2.0 заявив в том числе, что оно менее секурное вышло, но так ли это, вопрос открытый.

Ещё подкиньте критерии оценки при сравнении.

VirRaa
Мне было бы удобнее, если бы ты сделал 1.0. Так как у меня есть готовые библиотеки и т.п., для быстрого подключения к сайту.

Там всё ещё мало написано под 2.0 готовых клиентов? А по-поводу 1.0, там, вроде, всё равно приходистя допиливать клиента из-за различий в реализации протокола?

А является критерием при организации у себя провайдера, как реализовали его у себя Fb, Google, Twitter, e.t.c.?

У второй версии OAuth нет обратной совместимости с первой версией. Если ориентироваться на пользователей того же Твиттера, то обязательно использовать именно OAuth 1.0. Причём не понятно, почему они до сих пор не добавили поддержку OAuth 2.0, люди явно проявляют недовольство этим на их официальном форуме.

Здесь, кстати, неплохие статьи по теме: http://hueniverse.com/oauth/

В частности эта: http://hueniverse.com/2010/09/oauth-2-0-without-signatures-is-bad-for-the-web/

Оба варианта.

Склоняюсь к 1.0а, несмотря на то, что реализация 2.0 проще. Запинайте.

выбирый 2.0 , потому сторонние разработчики действительно запинают (мысленно :)).

может быть конешно к auth-1.0 и существуют какие-то там готовые библиотеки, но auth-2.0 настолько простой, что даже библиотеки не нужны.

...так-что какой смысл насиловать мозги сторонних разработчиков (методом вынуждения их — использовать бажные-недописанные-библиотеки auth-1.0) — я не понимаю... ну может быть — лишь ради глумнения над ними :-)