认证授权

2012年7月，OAuth 2.0规范的主要作者Eran Hammer宣布辞职。他在博客中写道：“OAuth 2.0是一个坏协议。“这不是一时冲动——作为OAuth 1.0的创建者和OAuth 2.0的首席编辑，他在三年间目睹了协议在商业利益博弈中逐渐失去安全初心。十多年后，OAuth已成为互联网授权的事实标准，每月处理着数以十亿计的登录请求。但Hammer的警告正在被验证：OAuth本身是安全的，但实现OAuth的人总是犯错。 ...

2015年5月，JSON Web Token（JWT）作为RFC 7519正式发布。这个看似简单的标准——用三个Base64编码的部分表示用户身份——在随后的十年里席卷了整个Web开发领域。从单页应用到微服务架构，从移动App到物联网设备，JWT几乎成了现代认证的同义词。 ...