问题描述
我将开发一个移动应用程序,为此,我阅读了很多关于 API 安全性的内容,但有些困惑。如果我的应用向 API 发出请求,身份验证是否足够,或者我是否还需要授权,因为我只有一个用户角色。
那意味着 JWT 代替 OAuth 就足够了,对吗?
解决方法
我的理解是 OAuth 用于交互式用户,而 JWT 身份验证用于 IoT 安全性,用于设备向系统进行自身身份验证。
您是否需要授权,这将是身份验证后的单独问题。
如果它只是从现场设备到数据中心的数据传输,您可能不需要它。但是当设备从系统寻求访问信息/资源时,您可能需要它(因此信息以相反的方式流动)。
