JWT、Session、OAuth 区别

JWT

• JWT（JSON Web Token）是一种用于身份验证的开放标准（RFC 7519）。
• JWT 由三个部分组成：头部、载荷和签名。
• 头部包含了令牌类型和所使用的算法，载荷包含了存储在令牌中的信息，签名用于验证令牌的真实性。
• JWT 是一种轻量级的认证方式，因为可以在请求的 Header 中包含 JWT，不需要在服务端存储任何信息，适合于分布式的微服务架构。

Session

• Session 是一种记录客户端与服务器会话状态的机制，常用于 Web 应用中。
• 在客户端发送请求时，服务端会创建一个唯一的 Session ID，并将该 ID 与客户端关联起来，将该 ID 作为 cookie 返回给客户端。
• 客户端每次请求都会携带该 ID，服务端根据该 ID 找到对应的 Session，从而获取该用户的会话信息。
• Session 的主要问题是需要在服务端维护会话状态，会占用一定的内存资源。同时，如果应用采用分布式部署，需要使用共享存储或共享 Session 来解决 Session 共享的问题。

OAuth

• OAuth（Open Authorization）是一种授权机制，用于允许第三方应用访问用户资源。
• OAuth 协议定义了四种角色：资源拥有者、客户端、授权服务器和资源服务器。
• OAuth 认证流程包括四个步骤：授权请求、用户授权、颁发访问令牌和访问受限资源。
• OAuth 2.0 是 OAuth 的下一代版本，主要解决了 OAuth 1.0 在安全性、性能和易用性方面的一些问题，成为现代应用中最常用的授权机制。

区别

• JWT 是一种用于身份验证的开放标准，适合于分布式的微服务架构；Session 是一种记录客户端与服务器会话状态的机制，需要在服务端维护会话状态，不适合分布式部署；OAuth 是一种授权机制，用于允许第三方应用访问用户资源。
• JWT 轻量级、无状态、跨平台、可扩展，可以很好地解决跨域、认证和授权问题；Session 在服务器端维护，存在一定的资源占用和共享问题，但可以支持更加灵活的会话管理和安全控制；OAuth 在客户端和服务端之间进行授权，支持多种认证方式