Qu'est-ce que JWT et OAuth2 ?

Demandé par: Laiba Patryll | Dernière mise à jour: Wed, 13 Oct 2021
Catégorie: technologie et informatique internet des objets
4.9/5 (140 Views . 16 Votes)
Considérant que OAuth2 est un cadre d'autorisation, où il a des procédures générales et des configurations définies par le cadre. OAuth 2.0 définit un protocole et JWT définit un format de jeton. OAuth peut utiliser soit JWT comme format de jeton, soit un jeton d'accès qui est un jeton porteur. OpenID connect utilise principalement JWT comme format de jeton.

En conséquence, quelle est la différence entre OAuth et OAuth2 ?

Les signatures OAuth 2.0 ne sont pas requises pour les appels d'API réels une fois que le jeton a été généré. Il n'a qu'un seul jeton de sécurité. OAuth 1.0 exige que le client envoie deux jetons de sécurité pour chaque appel d'API et utilise les deux pour générer la signature. Cette section décrit la différence entre OAuth 1.0 et 2.0 et leur fonctionnement.

On peut aussi se demander, comment JWT est-il apatride ? Les jetons Web JSON ( JWT ) sont appelés sans état car le serveur d'autorisation n'a besoin de conserver aucun état ; le jeton lui-même est tout ce qui est nécessaire pour vérifier l'autorisation d'un porteur de jeton. Les JWT sont signés à l'aide d'un algorithme de signature numérique (par exemple RSA) qui ne peut pas être falsifié.

Compte tenu de cela, dois-je utiliser OAuth2 pour mon API ?

2 réponses. C'est bien que vous vouliez faire une API REST dans node. Mais si vos données sont sensibles, telles que les données utilisateur privées, vous devez alors mettre une sorte de couche de sécurité sur votre API . En outre, l' utilisation d' OAuth ou d'une autre sécurité basée sur des jetons peut vous aider à améliorer la vérification des autorisations sur votre base d'utilisateurs.

A quoi sert OAuth2 ?

OAuth 2.0 est un cadre d'autorisation pour l'accès délégué aux API. Cela implique des clients qui demandent des étendues auxquelles les propriétaires de ressources autorisent/donnent leur consentement. Les autorisations accordées sont échangées contre des jetons d'accès et des jetons d'actualisation (selon le flux).