我有一个使用JWT的无状态身份验证模型的新SPA.我经常被要求引用OAuth进行身份验证流程,例如要求我为每个请求发送"Bearer tokens"而不是简单的令牌标头,但我认为OAuth比简单的基于JWT的身份验证要复杂得多.如果JWT身份验证的行为与OAuth相似,主要区别是什么?
我也使用JWT作为我的XSRF-TOKEN以防止XSRF,但我被要求将它们分开?我应该将它们分开吗?这里的任何帮助将不胜感激,并可能为社区带来一套指导方针.
我很难理解Laravel Passport和tymondesigns/jwt-auth包之间的区别,他们实际上是通过令牌执行相同的api身份验证任务吗?只要Laravel Passport在5.3+中引入,所以我们假设在最新版本中使用护照而不是tymondesigns/jwt-auth软件包?