我有一个后端服务器,其中用户凭证信息将以常见的用户名/密码形式保存。我正在创建一个chrome扩展程序,用户可以在其中登录其凭据以使用扩展程序功能。
我正在权衡可用于通过API调用执行身份验证的不同选项。 JWT,HTTP Basic和OAuth2.0是少数选择。大多数建议倾向于OAuth2.0。我不想使用OAuth2.0有两个原因
1)我不想使实现复杂化,因为我只是想从自己的服务器中对用户进行身份验证,并且不打算访问其他任何网站(例如Google或FB)上的用户数据
2)其次,更重要的是,本文https://oauth.net/articles/authentication/和许多其他资源都强调OAuth2.0不是身份验证协议
我正在寻求有关如何操作的指导。在这种情况下,特别是如果服务器最终将位于https上,那么JWT就足够了。