后端无状态鉴权 JWT 或 OAuth2 及其区别与实现

在现代后端开发中，无状态（Stateless）鉴权是实现高并发、易扩展架构的关键。JWT 和 OAuth2 是这一领域的两位“重量级选手”，但它们其实并不在一个维度上：JWT 是一种令牌格式，而 OAuth2 是一种授权框架。

下面为你详细拆解这两者的原理、区别以及实现思路。

一、 JWT (JSON Web Token)：自包含的身份凭证

JWT 就像是一张电子登机牌。它包含了你的身份信息，并且经过了航空公司的数字签名，任何安检口只要通过签名验证，不需要查数据库也能确认你的身份。

1. JWT 的结构

一个 JWT 由三部分组成，中间用.分隔：Header.Payload.Signature

• Header (头部):声明类型（JWT）和加密算法（如 HS256 或 RS256）。
• Payload (负载):存放用户信息（如user_id,role）和过期时间（exp）。注意：这里的信息是 Base64 编码的，谁都能看，所以严禁存放密码！
• Signature (签名):使用服务器私钥对前两部分进行加密。只要 Payload 被篡改，签名就会失效。

2. 工作流程

1. 登录：用户提交账号密码。
2. 签发：服务器验证通过，生成一个 JWT，用密钥加密后返回给客户端。
3. 存储：客户端通常将其存放在LocalStorage或Cookie中。
4. 请求：客户端随后的每次请求都在 Header 中带上：Authorization: Bearer <token>。
5. 校验：服务器取出 Token，验证签名是否正确、是否过期。验证通过即通过鉴权。

3. JWT 的优缺点

• 优点：真正的无状态，后端不需要存 Session，极大减轻数据库压力。
• 缺点：一旦签发，无法撤回（除非等它过期）。如果用户手机丢了或想强制下线，纯 JWT 很难做到（通常需要配合 Redis 黑名单，但这又让它变得“有状态”了）。

二、 OAuth2：委派授权的行业标准

OAuth2 并不是为了取代 JWT，它是一个复杂的授权协议。最典型的场景是“使用微信/GitHub 登录某网站”。

1. 核心角色

• 资源所有者 (Resource Owner):用户。
• 客户端 (Client):第三方应用（比如你正在开发的网站）。
• 授权服务器 (Authorization Server):验证用户身份并颁发 Token 的服务器。
• 资源服务器 (Resource Server):托管用户数据的服务器。

2. 授权码模式 (Authorization Code) —— 最常用的流程

1. 用户点击“第三方登录”，跳转到授权服务器。
2. 用户在授权服务器输入密码并授权。
3. 授权服务器给客户端一个授权码 (Code)。
4. 客户端拿着 Code 和自己的密钥（Client Secret），后端对后端地去授权服务器换取Access Token。
5. 客户端用 Access Token 去资源服务器拿数据。

三、 JWT vs. OAuth2：深度对比

很多新手会问：“我该选哪个？” 其实这取决于你的业务规模。

简单来说：如果只是你自己的前端调用你自己的后端，JWT 足够了；如果你要搞一套生态体系，或者需要极高的安全性管控，选 OAuth2。

四、 实现建议

1. JWT 实现要点

• 算法选择：内部私有系统可用HS256（对称加密），如果涉及多方协作建议用RS256（非对称加密）。
• Token 刷新策略：*Access Token:设短一点（如 30 分钟）。
• Refresh Token:设长一点（如 7 天），存入数据库。当 Access Token 过期，用 Refresh Token 换取新的。

2. OAuth2 实现要点

• 不要从零开始写！使用成熟的库：

• Java:Spring Security OAuth2 / Spring Authorization Server.

• Node.js:Passport.js.

• Go:Go-OAuth2.

• 必须使用 HTTPS：在 OAuth2 流程中，Token 就是一切，明文传输等同于裸奔。

3. 混合使用

在现代微服务中，两者经常配合使用：

OAuth2 负责“流程控制”（如何获取权限），而它最后颁发给客户端的那串 Token，其内容格式通常就是一个 JWT。

总结

• 想省事、轻量化：直接上JWT。
• 要规范、要开放、要精细权限控制：部署OAuth2框架。