我正在学习基于令牌的身份验证,并尝试学习如何在Laravel 5中实现它。我遇到了两种非常流行的技术,但由于我对这些技术都很陌生,所以感到困惑。
Medium上的这篇文章建议我使用lucadegasperi/oauth2-server-laravel,根据Github上的星数和引用数量来看,我确信这是社区中非常受欢迎的软件包之一,可以帮助我进行OAuth实现。
Scotch.io上的另一篇文章则鼓励我使用tymondesigns/jwt-auth,同样根据Github上的星数来看,也非常受欢迎。
此时,我对该使用哪个选项感到犹豫不决,主要是因为我是新手开发者,没有使用过其中任何一个。
能否有人指出它们各自的优缺点,以及我应该使用哪一个?我的项目类型是否也会决定我应该使用哪种?如何操作呢?
此外,如果您认为我应该选择其中一个,请也指出好的资源,以帮助我开始使用它们。当然除了我提供的这两个链接之外。
JWT是一个简单的认证协议,Oauth是一个认证框架。
经验丰富的开发人员需要大约一个月的时间才能完全理解和实现Oauth,而经验丰富的开发人员可以在阅读规范约一天后掌握JWT协议。因此,这基本上取决于您的具体用例。
如果您想要对API进行简单的无状态HTTP身份验证,则JWT就足够了,并且相对快速易于实现,即使对于新手开发人员也是如此。
以下是几个JWT资源:
还有一个Oauth资源:
JWT是JSON Web Token的缩写。正如名称所示,它是在两个方之间作为JSON传递安全数据的令牌。
另一方面,Oauth2是一组规则或通常称为框架的过程,有助于认证和授权两个方传输安全数据的过程。
以下图表将解释oauth2的工作原理:
这里是图表中步骤的更详细说明:
JWT和OAuth2完全不同,具有不同的用途,但它们是兼容的,可以一起用于传输安全数据。
在oauth2的第3步和第6步中使用JWT
基于评论更新。
我们可以单独使用Oauth和JWT。在Oauth2中,我们可以使用其他令牌机制而不是JWT。同样地,我们可以独立使用JWT通过使用私有密钥或公/私钥对其进行签名来保护我们的API。这样我们就可以在API之间传输身份验证声明。
