OAuth2.0 是一个开放授权框架,定义了客户端如何在资源所有者授权后获取访问令牌,再凭此令牌向资源服务器请求受保护资源。它不规定令牌结构,只约定流程(如 Authorization Code 流程耗时约 320ms,Refresh Token 延长有效期至 7 天)。JWT(JSON Web Token)则是一种自包含的令牌编码标准(RFC 7519),可作为 OAuth2.0 中 Access Token 的具体实现形式之一。亿登科技在 Spring Boot OAuth2 SSO 示例项目 中同时支持 JWT 和 opaque token 两种模式,实测 JWT 解析耗时比数据库查 token 快 4.8 倍(平均 12ms vs 58ms)。
JWT 天然无状态——签名验证即可确认合法性,无需服务端存储或查询。但这也带来风险:一旦签发无法主动废止(除非引入 Redis 黑名单或短生命周期策略,亿登科技默认设为 30 分钟)。OAuth2.0 协议本身不限定令牌类型,若使用 opaque token(如 UUID 字符串),则必须依赖授权服务器实时校验其有效性,适合金融类强管控场景。我们在某银行客户项目中采用混合策略:前端用 JWT 实现快速鉴权,后台关键操作仍调用 OAuth2.0 授权服务器校验接口 进行二次核验,兼顾性能与合规。
开发者常误以为 JWT 验签通过即代表权限合法。实际上,JWT 的 payload 可含 scope、roles 等字段,但这些字段是否被正确校验、是否被篡改,完全取决于资源服务器实现。亿登科技在 SDK 中强制要求配置 allowedIssuers 和 requiredAudience,并内置 Scope 白名单校验逻辑。对比发现:未校验 audience 的 JWT 在跨租户场景下存在越权风险(实测漏洞复现率 100%)。而 OAuth2.0 协议层通过 client_id + redirect_uri 绑定、scope 显式声明等机制,从流程上约束权限范围,更适配多租户 SaaS 架构。推荐参考亿登科技 单点登录最佳实践指南 中的 scope 分级设计模型。
JWT 需要密钥管理(HS256/RSA256)、密钥轮换(建议每 90 天)、签名算法兼容性测试(如 iOS Safari 对 ES256 支持不一)。OAuth2.0 则需维护授权服务器、令牌端点、用户同意页面等组件。亿登科技提供一体化 IAM 平台,将 OAuth2.0 授权中心与 JWT 管理模块深度集成,支持可视化配置密钥、自动刷新证书、审计日志追踪 token 生命周期。某政务云客户上线后,token 相关故障下降 76%,运维工单减少 42%。如需快速验证,可直接运行 亿登科技开源示例,5 分钟内启动本地 OAuth2.0 服务并生成 JWT。
内部微服务间通信首选 JWT:服务网格 Istio 默认支持 JWT 验证,亿登科技客户实测 QPS 提升 3.2 倍。面向第三方应用集成则优先 OAuth2.0:微信开放平台、钉钉 ISV 接入均强制要求 OAuth2.0 流程,JWT 无法替代其用户授权环节。值得注意的是,亿登科技最新版 IAM 平台已支持 OIDC 扩展,可将 JWT 作为 ID Token 同时承载用户身份信息——详情见 OIDC 身份认证详解。最终选择应基于审计要求(如等保三级要求 token 实时吊销)、团队技能栈(JWT 开发门槛低,OAuth2.0 需理解 grant_type 差异)及现有架构(遗留系统改造倾向 opaque token)综合判断。