Si vous choisissez entre les versions OAuth, optez pour OAuth 2.0.
Les jetons de support OAuth ne doivent être utilisés qu'avec un transport sécurisé.
Les jetons de support OAuth ne sont aussi sécurisés ou non sécurisés que le transport qui crypte la conversation. HTTPS prend en charge la protection contre les attaques de relecture, il n'est donc pas nécessaire que le jeton porteur se prémunisse également contre la relecture.
S'il est vrai que si quelqu'un intercepte votre jeton porteur, il peut se faire passer pour vous lors de l'appel de l'API, il existe de nombreuses façons d'atténuer ce risque. Si vous donnez à vos jetons une longue période d'expiration et que vous vous attendez à ce que vos clients stockent les jetons localement, vous courez un plus grand risque que les jetons soient interceptés et mal utilisés que si vous donnez à vos jetons une courte expiration, exigez que les clients acquièrent de nouveaux jetons pour chaque session, et conseillez aux clients de ne pas conserver les jetons.
Si vous avez besoin de sécuriser des charges utiles qui passent par plusieurs participants, vous avez besoin de quelque chose de plus que HTTPS / SSL, car HTTPS / SSL crypte uniquement un lien du graphique. Ce n'est pas une faute d'OAuth.
Les jetons de support sont faciles à obtenir pour les clients, faciles à utiliser pour les appels d'API et sont largement utilisés (avec HTTPS) pour sécuriser les API publiques de Google, Facebook et de nombreux autres services.