¿Podría alguien enumerar las principales diferencias entre OAuth 2.0 y versiones anteriores? O apúntame a una buena documentación. (No es la completa OAuth 2.0 Protocol draft; no tengo tiempo para leerlo.)OAuth 2.0 - ¿Qué hay de nuevo?
La principal diferencia entre 1.0 y 2.0 es la escala. Todo lo demás es mucho menos significativo. 2.0 fue diseñado desde cero para la escala Google/Facebook/Multinational-telecom optimizando cada paso y cada credencial.
En OAuth 1.0, cada solicitud requiere dos secretos y una compleja solicitud de normalización para producir la firma. Tiene una lógica rota de nonce/timestamp que nadie implementa correctamente (el secreto mejor guardado en la industria es que Twitter es probablemente el único proveedor que verifica los valores nonce con un sesgo de reloj de 15 minutos para las marcas de tiempo).
OAuth 2.0 es mucho más honesto con respecto a los clientes de escritorio y dispositivos móviles, los requisitos de registro y las limitaciones del protocolo. La especificación es un poco más compleja debido a la lista mucho más grande de requisitos y la nueva capa de abstracción llamada concesiones de autorización.
Comprobar este artículo para obtener un breve resumen de los cambios introducidos con OAuth 2.0 (y las razones de los cambios): http://hueniverse.com/2010/05/introducing-oauth-2-0/
Aquí hay otro corto y fácil de leer resumen: http://blog.apigee.com/detail/oauth_differences/
(en suma, más simplicidad es lo que hay de nuevo.)
Esa publicación está bastante desactualizada. Necesito volver a visitarlo. –