Эран Хаммер (Eran Hammer), один из авторов спецификаций OAuth 1.0, а также действующий редактор создающегося стандарта OAuth 2.0, объявил об уходе с поста после трёх лет работы над новым стандартом, и попросил вычеркнуть своё имя из спецификаций.
В личном блоге специалист объяснил причины такого поступка. Если в двух словах, то OAuth 2.0 после обработки в IETF превратился в плохой стандарт. «Он плох настолько, что я больше не хочу, чтобы моё имя ассоциировалось с ним», — пишет Эран Хаммер, хотя и отмечает, что после трёх лет упорной работы это решение далось ему нелегко. Обсуждение нового стандарта в IETF привело к множеству компромиссов, в результате чего появились спецификации, которые не удовлетворяют двум основным принципам — совместимости и безопасности. Так, одним из компромиссов стало переименование протокола во фреймворк, а ещё одним компромиссом — добавление заявления, что спецификации вряд ли способны обеспечить совместимые реализации. Даже пример Facebook показывает, что разработчики игнорируют важные части OAuth 2.0, и это при том, что в Facebook реализацией этой технологии занимается один из авторов спецификаций.
По сравнению с 1.0, спецификации 2.0 более сложные, менее совместимые, менее удобные в использовании, менее полные и, самое главное, менее безопасные, говорит Хаммер. В руках толкового разработчика OAuth 2.0 может быть хорошо защищённой системой, но в руках большинства разработчиков, как показывает опыт последних двух лет, будет наоборот.Причиной столь печальной ситуации с OAuth 2.0, считает один из авторов стандарта, стали разногласия между представителями веб-разработки и корпоративного мира. Поначалу в рабочей группе были все представители из интернет-сообщества, но постепенно они покидали её, и в конце концов остались исключительно представители корпоративного мира и сам Эран Хаммер. В то время как веб-разработчики хотели улучшенную версию OAuth 1.0 с исправлениями в необходимых областях, представители корпоративного мира хотели получить фреймворк, который они могли бы без проблем встроить в свои существующие корпоративные системы. В итоге был создан фреймворк, который допускает практически любые расширения, так что почти любую систему можно будет назвать OAuth 2.0-совместимой.
В конце своей блогозаписи Эран Хаммер пишет: «Я думаю, что бренд OAuth стремится к закату. Фреймворк ещё проживёт какое-то время, и в отсутствии конкуренции он будет широко использоваться. Но в то же время мы, скорее всего, столкнёмся с серьёзными уязвимостями в безопасности в течение ближайших нескольких лет, за которыми последует медленная, но неумолимая дискредитация бренда. Это будет ещё один из тех протоколов, который все ненавидят, но не могут от него отказаться».
Вообще, отдать OAuth на стандартизацию в IETF было большой ошибкой. Жаль, что на понимание этого ушло три года. Для иллюстрации своей позиции Эран Хаммер даже опубликовал в блоге иллюстрацию со словам «Они убили OAuth. Сволочи!».
Эран Хаммер не рекомендует делать апгрейд на OAuth 2.0 тем, кто уже успешно использует OAuth 1.0.
Нужно заметить, что такая же ситуация в IETF с усложнением и дискредитацией хорошего стандарта произошла в случае с WebSocket: по мнению Яна Хиксона (Ian Hickson), дизайн этого протокола стал хуже после «обработки» в IETF, хотя и не в такой степени, как OAuth.
