为什么我应该使用JWT令牌而不是api键（Symfony）

Question

我实施了Guard身份验证 https://symfony.com/doc/current/security/guard_authentication.html 用api键。

它快速而且非常简单。其他人另外使用lexikJWT https://knpuniversity.com/screencast/symfony-rest4

在我的测试系统上，lexikJWT非常慢。我真的吗 需要JWT？当我实现addUser时，注销并过期 为了守卫我会得到我需要的一切，或者？

• 在这两种情况下，其他人都无法修改apiKey或 JWT令牌（然后它无效）或产生新的令牌。
• 如果有人偷走了apiKey或JWT令牌，他会的 在这两种情况下都可以访问。
• 在这两种情况下，我都必须存储敏感数据 （用户，密码，令牌等）在某处 数据库
• 使用apiKey还有一个角色和 数据库中的唯一名称/ ID，所以我不需要 JWT令牌中的这些信息。

那么优势在哪里？

我选择的缺点是

• lexikJWT慢得多，特别是在服务中 定向建筑与许多不同的api电话......
• lexikJWT是第三方软件（怎么知道 lexikJWT存在或在4年内得到很好的支持）

谢谢你＆amp;最诚挚的问候