关键点： Oauth 2不提供SSL上的安全性，而Oauth 1是独立于传输的。 从某种意义上说，SSL并不安全，因为服务器不会验证连接，而且通用客户端库可以轻松地忽略故障。 SSL / TLS的问题在于，当您无法在客户端验证证书时，连接仍然有效。任何时候忽略错误都会导致成功，开发者将会这样做。服务器无法执行证书验证，即使可以，攻击者也一定不会。 你可以将您的所有安全性用尽手指，这在OAuth 1.0中要做得更加困难： 第二个常见的潜在问题是错别字。你会认为这是一个适当的设计，当省略一个字符（''在'https'）取消令牌的整个安全？或者可能（通过有效且经过验证的SSL / TLS连接）将请求发送到错误的目的地（比如' http://gatest.com '？）。请记住，能够使用命令行中的OAuth承载令牌显然是一个使用案例持票者代币提倡者。... 展开详请