本文会详细描述两种通用的保证API安全性的方法:OAuth和JSONWebToken(JWT)
假设:你已经或者正在实现API;你正在考虑选择一个合适的方法保证API的安全性;JWT和OAuth比较?要比较JWT和OAuth?首先要明白一点就是,这两个根本没有可比性,是两个完全不同的东西。JWT是一种认证协议JWT提供了一种用于发布接入令牌(AccessToken),并对发布的签名接入令牌进行验证的方法。令牌(Token)本身包含了一系列声明,应用程序可以根据这些声明限制用户对资源的访问。OAuth是一种授权框架另一方面,OAuth是一种授权框架,提供了一套详细的授权机制(指导)。用户或应用可以通过公开的或私有的设置,授权第三方应用访问特定资源。既然JWT和OAuth没有可比性,为什么还要把这两个放在一起说呢?实际中确实会有很多人拿JWT和OAuth作比较。标题里把这两个放在一起,确实有误导的意思。很多情况下,在讨论OAuth的实现时,会把JSONWebToken作为一种认证机制使用。这也是为什么他们会经常一起出现。先来搞清楚JWT和OAuth究竟是干什么的~JSONWebToken(JWT)JWT在标准中是这么定义的:JSONWebToken(JWT)isa