我一直在阅读有关使用JWT(JSON Web Tokens)与OAuth的规范。
在2.1和2.2中,它说JWT可以用作授权授予或客户端身份验证。
据我所知,认证是为了识别某些东西(此用户是他声称的用户),而授权是为了检查用户是否被允许执行所请求的操作。
将JWT用作授权授予是有道理的,因为请求是通过签名隐式标识的。大多数支持此方法的API都使用JWT作为授权授予方式。请参见salesforce和google。
这就让我感到困惑了。为什么需要JWT认证作为一个独立的事物?在什么情况/使用场景下需要JWT认证?
在2.1和2.2中,它说JWT可以用作授权授予或客户端身份验证。
据我所知,认证是为了识别某些东西(此用户是他声称的用户),而授权是为了检查用户是否被允许执行所请求的操作。
将JWT用作授权授予是有道理的,因为请求是通过签名隐式标识的。大多数支持此方法的API都使用JWT作为授权授予方式。请参见salesforce和google。
这就让我感到困惑了。为什么需要JWT认证作为一个独立的事物?在什么情况/使用场景下需要JWT认证?