Oauthlib: 社区成员 - 活动

我实际上赞成将 dot 移至 oauthlib org。 它目前在爵士乐队中，这更像是一个 FFA 贡献组织。 我最初建议将它移到那里，因为它在其原始组织中基本上没有维护。

我不介意拥有写权限，但我不希望我会需要它。 尽管我对 Flask 非常熟悉，并且可以通过处理问题、合并 PR 等直接为 Flask-Dance 做出贡献，但我不能声称对 OAuth 和 OAuth 规范同样熟悉。 虽然我可以参与问题和代码审查，但除了非常微不足道的更改之外，我觉得在 oauthlib 上按下 PR 上的合并按钮并不方便。

@jleclanche ，尽管围绕将项目移动到 oauthlib org 进行了维护工作（文档、工具、链接等），但我认为这是一个好主意，而且从长远来看是值得的。 我认为我们也可以将bottle-oauthlib 移动到组织中。

@daenney ，那很好！ 我不希望任何下游开发人员了解有关 OAuth 的一切，但我们在库和 oauthlib 之间有 python API。 你肯定对此有意见，并且回顾这部分 - API - 可能对 Flask-Dance 和其他人非常有益。

这对我来说似乎很合理！ 这些天我没有花很多时间在 Flask-Dance 上工作，因为我目前没有将它用于任何事情，无论是个人还是专业。 尽管如此，我仍然积极支持它， @daenney提供了巨大的帮助。 （再次感谢！）

我不确定我是否真的会用requests-oauthlib做很多事情，但拥有这样做的权限绝对是件好事。 还有一个问题：我最近了解了Tidelift ，并且我已经注册了他们的平台作为 Flask-Dance 的维护者。 我想我应该为requests-oauthlib做同样的事情吗？ 有人有问题吗？

老实说，如果我有时间和动力，我想重写requests-oauthlib代码库和文档——使用起来不是很好。 但与我之前的观点相关，我不确定我何时或是否会开始这样做。

@singingwolfboy ，不用担心 Tidelift。

如果没有人反对，我会在一周内给这个项目几个写权限。 戳@thedrow ， @skion ， @duaneking ，@wiliamsouza。

我赞成这一点，因为我将能够花更少的时间前进。

我想在 requests-oauthlib 存储库上显示 GitHub Sponsor 按钮，但我无权访问 GitHub 上该存储库的设置页面。 有人可以打开它，或者允许我自己打开它吗？

我已经邀请了几个下游贡献者加入 oauthlib 组织。 如果我想念任何人，或者如果任何阅读此讨论的人有兴趣参与 oauthlib，无论是代表另一个下游图书馆还是他自己，请在此处发表评论或给我发消息！

谢谢

@singingwolfboy请相应地编辑 FUNDING.yml 文件。

@thedrow你能澄清你的评论吗？

• _您指的是哪个_ FUNDING.yml文件？
• 您希望我如何编辑它？
• 您是否能够提出拉取请求，以便展示您认为应该进行的编辑？
• 最后，这个讨论甚至属于这个特定的 GitHub 问题吗？

• https://github.com/oauthlib/oauthlib/blob/master/.github/FUNDING.yml
• PR就好了。 我们需要开一个开放式集体账户。
• 没有。 我们应该开一个新的。

戳@singingwolfboy ，我看到你对 requests-oauthlib 有写权限，你知道谁可以授予我们一些类似的权限吗？

我想如果我能找到一些空闲时间来清理问题/公关，我会的。

在此处抄送@jezdez ； 在 IRC 上寻求将 DOT 从爵士乐队移到这里。

@jleclanche ， @jezdez ，到目前为止有什么进展吗？
@singingwolfboy ，有关 requests-oauthlib 所有权/写入权限的任何更新？

谢谢

@JonathanHuot ：我相信@sigmavirus24让我可以访问 requests-oauthlib 存储库，但似乎他无限期地暂停了开源开发。 似乎最好的选择是使用请求网站上记录的支持渠道。 根据我的经验，如果你能找到维护者在线的时间，IRC 效果最好： #python-requests

在相关新闻中， @jtroussard向我表示他也有兴趣成为维护者，尽管他在开源方面没有太多经验。 他和我将找时间进行视频聊天，这样我就可以回答他的问题并尽可能多地帮助他入门。

在将 DOT 移出爵士乐队时，我没有收到@jezdez的答复。 可以跟进它的人在这里提出问题吗？

嗨朋友们，很抱歉让你们久等了，我想澄清一些事情，因为 django-oauth-toolkit 已经很长时间没有出现在 Jazzband 中了。 为了 Jazzband 的“门户开放”政策（基本上每个人都可以加入 Jazzband GitHub 组织并直接贡献），从迁移到 Jazzband 以来做出贡献的每个人都批准将 django-oauth-toolkot 迁移到 oauthlib 组织似乎是明智的检查制作。

我还建议从@synasius （他将 repo 从之前的位置移动到 Jazzband）和当前的项目负责人@MattBlack85获得确认，他不久前慷慨地加强了该项目的领导。

以下是自迁移到 Jazzband 之日以来发生的更改列表，包括进行更改的贡献者： https ://github.com/jazzband/django-oauth-toolkit/compare/master@%7B04-18-18

@jleclanche既然你是贡献者之一，并且在 IRC 和这里询问了关于迁移到 oauthlib 组织的问题，你介意在票证中与这些人联系以获得确认吗？

我目前离开，直到 12 月 5 日。 在那之后，我很乐意做一些跑腿工作来帮忙！

我刚刚与@denizdogan交谈过，他也有兴趣帮助处理 requests-oauthlib。 他和我都认为现有代码处于不良状态，从头开始重写可能是个好主意——这也使我们能够创建更好的开发人员 API。 他将创建一个新的存储库并开始处理一个新项目，该项目_可能_最终会在未来的某个时候取代 requests-oauthlib。

也许该项目还可以支持httpx进行异步连接？

@thedrow这实际上是我在业余时间所做的工作，基本上只是对 requests-oauthlib 的重写，但使用 httpx 并可能在我发现它们时实现其他改进。 工作名称是 httpx-oauthlib（还没有在线代码）。

坦率地说，我这样做主要是为了弄清楚为什么 requests-oauthlib 的设计方式是这样的，并看看我是否可以在 20/20 后见之明和没有向后兼容性要求的情况下做得更好. 不要让我在这方面的工作阻止其他人做同样的事情，因为无论如何你可能比我更适合这项任务。 :)

如果我最终在 PyPI 上得到一个合适的包，httpx 用户将是主要目标受众，请求可能会被用作后备，这取决于它需要多少工作。

这可能是一个愚蠢的问题，但我需要问：

现在Authlib有什么不足吗？ 我认为它只是用于编写 OAuth 服务器，因为它确实在其标语中推动了该部分，但现在它似乎不仅具有客户端支持，还具有 Flask 和 Django 集成、异步 HTTPX 支持、PKCE 支持、OpenID Connect 等. 自从两年多前他创建了一个分支以来，它目前正在由@lepture积极开发。

因为我之前没有仔细研究过，所以我有点自责，因为我花了好几个小时的空闲时间来制作 httpx-oauthlib，但现在这似乎是多余的。 他们设计 Authlib 的方式非常符合我想要完成的目标，有时实际上比我想象的要好。

我敢说，也许是时候考虑弃用 oauthlib 和 requests-oauthlib 并专注于 Authlib 了？

不。

Auth Zero 是一家不可信任的私人公司； 他们正在资助这项工作，我个人认为这是对社区的攻击，因为他们参与其中。

我最初加入这个项目是因为 Auth0 作为一家公司正在滥用其方式购买和利用其所有权或控制每个可能的登录库，因为对他们来说最好减少竞争； 他们一直这样做是为了提高初创公司的价格，并试图控制登录即服务并迫使公司使用它们，所以我根本不信任他们。

因此，我们需要这个项目以一种简单的方式存在，以确保他们不会控制一切； 如果您不正式使用它们，它们的东西往往会损坏，因此我将它们视为 BORG。

@duaneking我明白 - 我不知道 Auth0 的商业惯例，甚至不知道它们与 Authlib 相关联。 感谢您的回复，并将重新考虑使用 Authlib 的想法。 话虽如此，据我所知，Auth0 只是该项目的“赞助商”，而小明正在经营自己的业务，否则与 Auth0 无关。 我的理解是正确的还是兔子洞更深了？

不。

Auth0 以几种方式进行“赞助”，您看到的是前端部分。您应该考虑任何开发人员直接或间接通过项目主动从他们那里获取资金，以在后端受到他们的污染/控制/影响公司强迫开发人员签署他们不能在公开场合谈论的协议以引导品牌并降低公司风险等的情况并不少见。

当他们试图联系我时，这正是所提供的，因此，我对他们“赞助”或“支持”的任何项目的信任度为零，而同意这一点的开发人员本身也被怀疑为在我看来，他们有效地推销了他们的信誉。

@denizdogan @duaneking Auth0 只是 Authlib 的赞助商之一，它与 Authlib 的“控制”“管理”“许可”或任何其他事情无关。 您可以将其视为广告。

Auth0 已尝试联系我专门为他们创建集成，但我拒绝了。 您不会在 Authlib 中看到任何与 auth0 相关的代码。 我不明白为什么会出现问题，信息是公开的，您可以通过https://www.patreon.com/lepture 获取资金信息。 任何人都可以通过 patreon 或 GitHub 支持我。

除此之外，您还可以在自述文件中看到另一个赞助商Authing 。

OAuthlib 本身也在使用 Auth0 赞助的库： https ://pyjwt.readthedocs.io/en/latest/

我不信任 Auth0。 在我看来，他们的策略是不道德的。 他们想扔钱的事实很好，但这绝不应该给他们任何控制甚至影响。

他们的目标是在初创公司和慈善机构（或任何人）上获得每个用户的利润，这与社区、任何公司的目标等背道而驰，他们应该被视为对社区怀有敌意的本质，因为他们是一家希望按用户定价的公司尽可能高，以提供他们的底线。 他们的商业模式是对开源、初创公司、任何公司等恕我直言的攻击。

我敢说，也许是时候考虑弃用 oauthlib 和 requests-oauthlib 并专注于 Authlib 了？

就其价值而言，OAuthlib 相对于 Authlib 的主要功能是一种不可知论的方法。

我对@lepture的版权转让政策也有一个小但非零的担忧。 作为图书馆消费者，这是 100% 可以理解的，但作为贡献者，我更愿意在 CC0 下发布。 不过，我还没有和他们详细讨论过。

我自己不喜欢拥有整个社区工作的人。

我有兴趣成为维护者。

嗨@auvipy ，非常欢迎你加入这个项目，我发送了邀请！

嗨@auvipy ，非常欢迎你加入这个项目，我发送了邀请！

知道了。 但目前没有合并或批准。

你能再检查一下吗？ 我想我对组织、团队和项目感到困惑。 现在您和 oauthlib 组织中的每个人都应该拥有更多权限。