2009 年 4 月的“会话固定攻击”在此处进行了描述：http: //oauth.net/advisories/2009-1/并在此处进行了更详细的描述：http: //hueniverse.com/2009/04/explaining-the-oauth-会话固定攻击/

从不同的角度来看，安全意味着不同的东西。正如我在此站点上不断重复的那样，这完全取决于您的威胁模型。应用程序提供商的威胁模型与用户不同，这与 RIAA 的不同。

一些 OAuth 2.0 用户从加密签名转向“包装”模型：“用 TLS 包装的不记名令牌”（如 cookie）。规范的编辑谈到了他对可互操作发现场景的担忧：http: //hueniverse.com/2010/09/oauth-2-0-without-signatures-is-bad-for-the-web/ 在草案中OAuth 2.0 规范的第 11 版重新加入了签名选项。不记名令牌规范移出到配套规范，并且还有通过 SAML 和 Kerberos 进行签名的配套规范。也许会有其他人（如 OAuth 1.0 方案？）请参阅http://www.ietf.org/mail-archive/web/oauth/current/msg04573.html上的决定和思考

另见另一条较早的评论：http ://benlog.com/articles/2009/12/22/its-a-wrap/

这是另一个关于如何在处理不同的安全角度时变得混乱的讨论。

http://benlog.com/articles/2010/09/02/an-unwarranted-bashing-of-twitters-oauth/