B2B应用程序的权限认证- JWT、OAuth等

Question

我读过关于选择正确的身份验证机制的文章，我理解JWT只是定义了一个令牌，而OAuth是一个可以使用JWT的完整框架。还有其他框架(Firebase?)以及象征性的标准。

现在，对于我的具体用例，我有一个带有Angular2的单页微服务应用程序，它将在一个相当老的B2B环境(2GB ram，IE11)中，在浏览器中运行一整天，没有任何刷新。因此，社交登录是不需要的，轻量级的解决方案更可取。你有什么建议吗？

Answer 1

这个问题可以帮上忙

您是使用基于表单的网页还是SPA？

• 表单:使用服务器会话
• SPA:使用认证令牌(JWT或不透明)

使用身份验证令牌，是否要避免在服务器端存储会话数据？

• 是的:使用JWT
• 这不重要:使用不透明的令牌

客户端需要验证令牌还是提取令牌声明？

• 是的:使用与RSA签署的JWT
• 否:使用带有HMAC或不透明令牌的JWT

你有第三方的API吗？

• 是的:在成功的用户登录后，使用OAuth2或OpenIDConnect发出身份验证令牌
• 不:没有额外的

要管理用户密码吗？

• 是的:制作你自己的注册和登录表格。
• 否:集成社会登录(他们使用oauth/OIDC)