JWT 和 OAuth2.0 是什么关系？有什么区别？

它们不在同一层面：JWT 是令牌格式标准（RFC 7519），定义 token 的结构和编码方式；OAuth2.0 是授权框架（RFC 6749），定义授权流程和角色关系。一句话：OAuth2.0 规定了"怎么授权"，JWT 规定了"令牌长什么样"。两者可以组合——OAuth2.0 的 Access Token 可以采用 JWT 格式，但不是必须的。OAuth2.0 也可以用不透明的随机字符串做 token。## 追问**OAuth2.0 不用 JWT 行不行？**完全可以。OAuth2.0 对 token 格式没有约束，可以用随机字符串（opaque token），验证时需查库。用 JWT 的好处是资源服务器可以本地验签、无需回调授权服务器，降低延迟和耦合。**OAuth2.0 的四种授权模式分别适合什么场景？**授权码模式（Authorization Code）适合有后端的 Web 应用，最安全；客户端凭证模式（Client Credentials）适合服务间调用；资源所有者密码模式已不推荐；隐式模式（Implicit）因安全风险已被 OAuth2.1 移除，改用 PKCE 增强的授权码模式。**既然 JWT 可以独立做认证，为什么还需要 OAuth2.0？**JWT 解决的是单系统的 token 格式问题。OAuth2.0 解决的是第三方委托授权问题——"让用户授权 A 应用访问 B 服务的资源，且不暴露密码"。这是 JWT 独自做不到的。**OAuth2.0 用 JWT 做 token 时，刷新令牌也用 JWT 吗？**一般不用。Refresh Token 需要可撤销，通常用 opaque token 存在服务端。JWT 格式的 refresh token 撤销困难，违背 refresh token 的设计初衷。## 写段代码javascript// OAuth2.0 授权码流程中签发 JWT access tokenconst accessToken = jwt.sign( { sub: userId, scope: 'read write', client_id: appId }, PRIVATE_KEY, { algorithm: 'RS256', expiresIn: '1h' });const refreshToken = crypto.randomBytes(32).toString('hex');await redis.set(`rt:${refreshToken}`, userId, 'EX', 7*86400);