目前,在 Web 服务 (Imgur) 的桌面应用程序中从 OAuth1 迁移到 OAuth2 的过程中,我对 OAuth2 规范感到困惑。根据此文档http://aaronparecki.com/articles/2012/07/29/1/oauth2-simplified并查看有关 OAuth2 的不同服务文档,显然它破坏了 OAuth1 提供的所有安全性。
使用 OAuth1,您可以使用用户授予访问权限的服务的 URL,并显示 PIN 以复制/粘贴到您的应用程序中,从用户永远不会向应用程序授予登录名/密码的意义上说,这是非常好的安全性,并且可以随时通过服务的网站撤销给定的访问权限。
现在使用 OAuth2,他们将这种情况排除在外,强制应用程序请求用户的登录名/密码,除非应用程序在其网站中制作自己的脚本以在授予访问权限后从服务接收令牌(然后让用户从你的网页)
我在这里错过了什么吗?