当API-Security只有一个用户角色时，使用JWT就足够了吗？

Question

我将开发一个移动应用程序，为此，我读了很多关于API安全的知识，并感到有点困惑。如果我的应用程序向API发出请求，那么身份验证就足够了吗，或者我也需要授权，因为我只有一个用户角色。

这意味着JWT而不是OAuth就足够了，对吧？

Answer 1

我的理解是，OAuth用于交互式用户，而JWT身份验证用于设备向系统进行身份验证的IoT安全性。您是否需要授权，这将是身份验证后的单独问题。如果只是从现场设备到数据中心的数据传输，您可能不需要它。但当设备从系统寻求访问信息/资源时，您可能需要它(因此，信息以相反的方式流动)。