本篇主要比较各个登录工具之间的区别与关联。
所有的安全框架、规范、协议等都是要基于HTTPS
JWT和Oauth
1、定义:JWT是一个“认证规范”;而OAuth是一个“开放标准网络协议”。
2、功能:JWT是用来证明你有权限访问特定资源,并提供一个安全方便的方式访问资源;而OAuth是你要授权第三方访问你的资源。
Oauth可以嵌套JWT来使用,即Oauth2.0中的access_token为JWT,但是每次请求比较麻烦。可以使用Oauth2.0来授权,然后每次访问只校验JWT的合法性。
使用jwt是没有登录状态的,服务器只在乎你这个token是不是有效的,而不会记住你是谁,你有没登录之类的信息,其有效性可以从以下方面来验证:
简单的验证:1、签发者;2、过期时间;3、接受者。(可以根据情况来调整校验的声明(Claim))。
JWT和CAS
都是作为单点登录。区别在于存储方式,JWT用cookie存在客户端;CAS是存储TGT服务器端,TGC于客户端。
