近期所参与的两个项目中都有和oauth验证打交道的地方。

我对oauth有过一些思考，其中最为简单的是认为它完全没有必要。

oauth顶着安全的帽子。其实说到安全性，我没有觉得有多安全：客户端经过用户的验证获得key，在浏览器端完成验证，客户端通过key访问受限资源。既然是浏览器行为就可以简单的模拟实现的，最后用户的安全性也没有受到什么保障。本来用户通过修改密码达到不让坏程序随意访问，现在改成取消程序的许可，可怕的是你不知道坏程序有否偷偷记录你的密码。要不密码也改了？

说到密码的保密，我的确觉得oauth给我感觉不错。对于那些不了解的程序我可以用oauth来隔绝它接触我的密码。可是验证之后他还是访问我的隐私了，oauth给了我虚伪的安全。

其实我想说的还是何不即提供oauth又提供普通的http登录呢？让程序员自己选择，让用户选择嘛。现在纯粹折腾我们。