【token本质】 登入创建，登出删除，时效设置和更新 【常见的前后端身份验证方式】 1.Session-Cookie 2.Token验证 2.1.服务端token保存 2.2.服务端无token保存 3.OAuth2.0（第三方授权） 【使用场景】 单系统使用jwt做权限认证组件 微服务使用oauth做权限中心 微服务使用oauth的原因，下游系统不会获得上游系统的登录密码，而jwt导致下游系统可以获得上游系统的登录密码 【总结】 token可以保存在MySQL或Redis上。 JWT，将用户信息进行签名的加密和解密处理，服务端无需保存资料，实现无状态话。但是服务端无法主动让token失效。 因为没有保存用户token，因此没有预设token泄露的失效处理。 oauth2和jwt最大的区别是，oauth2是第三方授权系统，授权后分派到其他系统进行登录。 oauth2可以使用jwt方式实现，或者其他方式方式。 单机首选：token+MySQL/Redis 分布式首选：Oauth2+Redis JWT虽然实现服务端无需保存资料，减轻服务器压力，但是无法主动让token失效。 【参考】 jwt与token+redis，哪种方案更好用？ https://www.zhihu.com/question/274566992 使用 Laravel Passport 处理 API 认证： https://www.jianshu.com/p/ee5d101ca5d0