取標題時我斟酌了一下,不曉得該從眾一點,用 authentication,還是根據實際機制,用 authorization。這兩者負責的是不一樣的事情。
前幾天看到 [JWTs Suck] 這份簡報,絕大部分提到的我都認同,因為這陣子在無業之中刻自己的專案,似乎不該叫做 side project,可是又不太想稱為 toy project,當中就花了很多工夫在理解並刻出 JWT 的發券與核對的程式,可是後來我愈來愈覺得 JWT 實務上並沒有如宣傳講的那麼便利,偷工省下來的一些優點,在需要更多彈性時,反而綁手綁腳。
但是無論如何,考量到除了 Web 以外,我的專案還會有 mobile app 等場合需要呼叫 API,token 在這樣的場景下,比 session coookie 方便多了,是不爭的事實。所以雖然我決定棄用 JWT,但是我還是想要繼續採用 token,譬如說,Phoenix 本身內建的 Phoenix.Token。
