gistfile1.txt

Il y a du vrai dans ce qu'il dit, mais ça ne tue pas OAuth2 pour autant. OAuth 2 était un protocole,
c'est maintenant un cadre pour l'implémentation d'autres protocoles. En ce sens OAuth2 tout seul ne 
sert à rien, ne garantie pas d'interopérabilité et sur ce point la comparaison avec WS-* est pas 
déconnante, après on reste à des années lumières du niveau de complexité du WS-*.

Il est clair que les entreprises qui avaient massivement investies sur du WS-* cherchent à retrouver 
une partie du fonctionnel mais appliqué à des Webservices REST via les différents dérivés de OAuth2.

Il reste néanmoins tout à fait possible et pertinent de faire du OAuth2 simple tel qu'initialement 
imaginé, ça s'appelle OAuth2 Bearer (http://self-issued.info/docs/draft-ietf-oauth-v2-bearer.html). 
C'est une spec qui s'appuie sur OAuth2 pour préciser les modalités d'implémentation d'OAuth2 sans 
crypto over HTTPS. En fait, les framework qui disent implémenter OAuth2 implémentent OAuth2 Bearer, 
spec leadé par l'énemie juré d'Eran, en l'occurence Mike Jones.

Je pense que ce qui manque c'est surtout une implémentation de protocole basé sur OAuth2 et permettant
 de gérer simplement du SSO, de l'authentification et de la gestion des droits distribuées sur une
 plateforme orientée service à la sauce REST. C'est ce qu'a essayé de faire OpenID Connect mais de
 manière trop complexe comme le signale Eran.