- OAuth 2.0**解決的是授權問題（**誰可以訪問什么**）。 - JWT**解決的是信息傳遞的安全性問題（**如何安全地攜帶和驗證信息**） --- 要在一個平臺（稱為“主平臺”）登錄后，允許其他平臺（稱為“子平臺”）也能使用該登錄，通常的做法是使用 **單點登錄（SSO）** 機制。在這種機制下，用戶只需要在主平臺登錄一次，之后在其他子平臺上訪問時，子平臺會通過主平臺的認證來確認用戶身份。實現 SSO 的一種常見方案是使用 **OAuth2.0** 和 **JWT**。 - **第一步**：獲取授權碼（`authorization code`）時，用戶的憑證（如用戶名和密碼）是直接通過瀏覽器提交給授權服務器的 (授權碼是一次性的) - **第二步**：在拿到授權碼后，客戶端（網站1）用它向授權服務器請求 `access_token`