OAuth2访问令牌：JWT与Opaque对比治理

--- title: OAuth2访问令牌：JWT与Opaque对比治理 keywords: - JWT - Opaque Token - 令牌验证 - Introspection - 隐私 description: 对比自包含 JWT 与不透明令牌的验证与隐私特征，在网关与资源服务器统一策略，权衡性能与安全。 categories: - 文章资讯 - 技术教程 --- # OAuth2访问令牌：JWT与Opaque对比治理 ## 概览 - JWT 自包含便于离线验证；Opaque 需查询 Introspection 端点，隐私更好且可撤销更即时。 - 依据场景组合或选择。 ## 技术参数（已验证） - JWT：本地验证签名与声明；使用 JWKS 缓存与轮换；控制时钟偏差与算法白名单。 - Opaque：`/introspect` 动态查询有效性与范围；结合缓存与撤销事件。 - 隐私与安全：JWT 避免携带 PII；Opaque 更易集中控制撤销与策略。 - 性能：JWT 低延迟；Opaque 增加查询成本；可用短缓存降低开销。 - 观测：记录验证失败与撤销事件；统一告警。 ## 实战清单 - 高性能与边缘场景优先 JWT；高安全与可撤销场景优先 Opaque。 - 在混合模式下统一策略与网关转换；保持审计与台账。 - 定期演练密钥与撤销流程；优化缓存与回退。