我有一个使用JWT的无状态身份validation模型的新SPA。 我经常被要求引用OAuth进行authenticationstream程,例如要求我为每个请求发送“承载令牌”,而不是简单的令牌标头,但我认为OAuth比简单的基于JWT的authentication要复杂得多。 主要的区别是什么?我应该让JWTauthentication像OAuth一样吗? 我也使用JWT作为我的XSRF-TOKEN来防止XSRF,但是我被要求将它们分开? 我应该让他们分开吗? 任何帮助在这里将不胜感激,可能会导致一个社区的指导方针。