Von was ich verstehe OAuth ist der allgemeine Fluss und JWT ist nur ein Format, das verwendet werden kann, um die Token zwischen dem Client und dem Server zu übergeben? Ist dieses Verständnis korrekt?Beziehung zwischen OAuth und JWT
Es ist grundsätzlich richtig. OAuth2 ist ein Autorisierungsframework, das von Anwendungen von Drittanbietern (Websites, mobilen Apps) verwendet wird, um auf Ressourcen auf einem Ressourcenserver zuzugreifen, ohne das Benutzerkennwort offenzulegen. JWT ist eine kompakte Möglichkeit, die Übertragung von Ansprüchen zwischen zwei Parteien darzustellen (JSON mit digitaler Signatur). OAuth2 kann JWT als das ausgetauschte Token, die Clientauthentifizierung (z. B. unter Verwendung von JWT Profile) als Zugriffstoken RFC7800 oder, wenn es in einem OpenID Connect Kontext verwendet wird, als ID-Token verwenden.
prüfen diese http://www.seedbox.com/en/blog/2015/06/05/oauth-2-vs-json-web-tokens-comment-securiser-un-api/
Kurz gesagt, JWT Sie die Ressourcen zugreifen können Sie, ohne explizit wollen gehen Trog ein Authentifizierungsverfahren. Das bedeutet, dass Ihre Authentifizierungsdaten in einem Token in der Kopfzeile Ihrer HTTP-Anfrage gesendet werden. Dieses Token wird dann überprüft und wenn alles richtig geht, greifen Sie auf die Daten zu (wenn das ttl überschritten wird oder wenn das Token ungültige Daten enthält) Sie werden aufgefordert, Ihre Zugangsdaten anzugeben, um ein neues Token zu erstellen, das Sie bei jeder HTTP-Anfrage an die API senden müssen.
So allgemein in einer Anwendung wir: 1- authentifizieren den Benutzer. 2- Wenn die Zugangsdaten korrekt sind, erlauben wir ihm, die Anwendung einzuloggen, während er ein JWT-Token mit den korrekten Zugangsdaten erstellt. 3. Wir senden das JWT-Token an den Benutzer. 4- Der Benutzer speichert das Token in einem Cookie oder in der Kopfzeile jeder HTTP-Anfrage sendet er 5 - der Benutzer muss nicht authentifizieren, indem er seine Anmeldeinformationen explizit angibt, er muss nur das JWT-Token in der Kopfzeile seiner HTTP-Anfrage senden, wenn er die Anwendung
anmeldet