OAuth 2.0: преимущества и варианты использования - почему?

Может ли кто-нибудь объяснить, что хорошего в OAuth2 и почему мы должны его реализовать? Я спрашиваю, потому что немного сбит с толку - вот мои текущие мысли:

Запросы OAuth1 (точнее HMAC) кажутся логичными, легкими для понимания, легкими в разработке и действительно, очень безопасными.

OAuth2 вместо этого передает запросы авторизации, токены доступа и токены обновления, и вам нужно сделать 3 запроса в самом начале сеанса, чтобы получить нужные данные. И даже в этом случае один из ваших запросов в конечном итоге завершится ошибкой, когда истечет срок действия токена.

А чтобы получить еще один токен доступа, вы используете токен обновления, который был передан одновременно с токеном доступа. Делает ли это токен доступа бесполезным с точки зрения безопасности?

Кроме того, как недавно показал / r / netsec, SSL не совсем безопасен, поэтому меня смущает стремление перенести все на TLS / SSL вместо безопасного HMAC.

OAuth утверждают, что дело не в 100% безопасности, а в том, чтобы опубликовать и завершить работу. С точки зрения провайдера, это звучит не очень многообещающе. Я вижу, чего пытается достичь черновик, когда в нем упоминаются 6 различных потоков, но в моей голове они просто не подходят друг другу.

Я думаю, что, возможно, я больше стараюсь понять его преимущества и аргументы, чем на самом деле не люблю его, так что это может быть чем-то вроде необоснованной атаки, и извините, если это может показаться разглагольствованием.