登录科普（三）比较

本篇主要比较各个登录工具之间的区别与关联。

所有的安全框架、规范、协议等都是要基于HTTPS

JWT和Oauth

1、定义：JWT是一个“认证规范”；而OAuth是一个“开放标准网络协议”。
2、功能：JWT是用来证明你有权限访问特定资源，并提供一个安全方便的方式访问资源；而OAuth是你要授权第三方访问你的资源。

Oauth可以嵌套JWT来使用，即Oauth2.0中的access_token为JWT，但是每次请求比较麻烦。可以使用Oauth2.0来授权，然后每次访问只校验JWT的合法性。
使用jwt是没有登录状态的，服务器只在乎你这个token是不是有效的，而不会记住你是谁，你有没登录之类的信息，其有效性可以从以下方面来验证：
简单的验证：1、签发者；2、过期时间；3、接受者。（可以根据情况来调整校验的声明（Claim））。

JWT和CAS

都是作为单点登录。区别在于存储方式，JWT用cookie存在客户端；CAS是存储TGT服务器端，TGC于客户端。