通常为了弄清楚一个概念，我们需要掌握十个概念。在判断 JWT (Json Web Token) 是否能代替 session 管理之前，我们要了解什么是 token，以及 access token 和 refresh token 的区别；了解什么是 OAuth，什么是 SSO，S…

OAuth 2.0 是一个开放的标准协议，允许应用程序访问其它应用的用户授权的数据。例如：一个游戏可以获取Facebook中的用户信息，或者是一个地理位置程序可以获取Foursquare的用户信息等。 这儿是一个示例图： 首先用户进入游戏的web应用，该应用要求用户通过…

OAuth2最初是基于开放系统间授权问题提出的，假设现在有一个第三方应用：“云冲印服务”，可以将用户存储在Google的照片冲印出来。用户为了使用该服务，必须让“云冲印服务”读取自己储存在Google上的照片。问题是只有得到用户的授权，Google才会同意“云冲印服务”读取这些…