实施具有自己的登录系统（无社交媒体）的 RESTful Web 应用程序时是不是需要 OAuth？

Posted 2023-03-10

【中文标题】实施具有自己的登录系统（无社交媒体）的 RESTful Web 应用程序时是不是需要 OAuth？

【英文标题】：Is OAuth necessary when implementing a RESTful web application that has its own login system (no social media)?实施具有自己的登录系统（无社交媒体）的 RESTful Web 应用程序时是否需要 OAuth？

【发布时间】：2016-12-20 14:59:19

【问题描述】：

如果我有一个带有 RESTful 后端的 Web 应用程序，它有一个登录系统来跟踪它自己的帐户（没有社交媒体登录什么的），那么使用 OAuth2 作为一种方法是否有意义？访问 REST API？本质上，如果登录系统没有社交媒体作为登录选择，还有其他途径吗？

我有一个 Java-Spring 后端。在这种情况下，JWT 会是 OAuth 的合适替代品吗？

【问题讨论】：

嗨，Jake，您介意分享一下您实施的解决方案及其背后的最终理由吗？

【参考方案1】：

我没有理由不这样做。

什么时候应该使用 JSON Web Tokens？

以下是 JSON Web 令牌有用的一些场景：

身份验证：这是使用 JWT 的最常见场景。用户登录后，每个后续请求都将包含 JWT，允许用户访问路由、服务和资源 允许使用该令牌。单点登录是一项广泛应用的功能 现在使用 JWT，因为它的开销小并且能够 轻松跨域使用。

信息交换：JSON Web 令牌是在各方之间安全传输信息的好方法，因为它们可以 签名，例如使用公钥/私钥对，您可以确定 发件人就是他们所说的那个人。此外，作为 签名是使用标头和有效负载计算的，您还可以 验证内容没有被篡改。

来源：https://jwt.io/introduction/