OAuth 2.0 ist mittlerweile gut 12 Jahre alt. Ein gut abgehangenes Autorisierungsprotokoll, sollte man meinen. Um in der Zwischenzeit der Entwicklung im Web Stand zu halten, gab es viele Zusatzspezifikationen, wie z.B. PKCE for OAuth, OAuth für Native Apps, OAuth Security Best Practices, etc. und bestehende Grants wurden abgekündigt und sollen zukünftig nicht mehr existieren. Mit der Version 2.1 steht für OAuth ein nächstes Release vor der Tür, mit der versucht wird, alle existierenden Anforderungen in einer Spec zusammenzufassen.

Ich versuche, Euch alle wichtigen Änderungen gegenüber der Basis-Spec 2.0 zu erläutern und auch zu erklären, warum diese Änderungen vorgenommen wurden, bzw. werden. Mein Ziel ist es, Euch best möglichst auf das Release von OAuth 2.1 vorzubereiten, so dass Ihr am Ende wisst, was Ihr zu tun habt, damit Eure OAuth-basierten Anwendungen nach wie vor sicher bleiben.