Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
我将开发一个移动应用程序,为此,我阅读了很多关于 API 安全性的内容并且有点困惑。如果我的应用程序向 API 发出请求,那么身份验证是否足够,或者我是否还需要授权,因为我只有一个用户角色。
这意味着 JWT 而不是 OAuth 就足够了,对吧?
我的理解是 OAuth 用于交互式用户,JWT 身份验证用于物联网安全,用于设备向系统进行身份验证。无论您是否需要授权,这将是身份验证后的单独问题。如果只是从现场设备到数据中心的数据传输,您可能不需要它。但是当设备从系统寻求访问信息/资源时,您可能需要它(因此信息流向相反)。