关于前后端分离使用 API,如何选择交互协议？

简单的用jwt，基本上就是token验权的问题，加https就可以了。

我在看passport中间用的就是OAUTH2.0，但是很复杂有没有简单点的，因为我是自己的项目，放在同一个服务器上，只是为了前端人员和后端人员分离，有没有简单一点的认证？ 属于内部API交互

首先，JWT 和 OAuth 2.0 都不是 API 协议。

其次，前后端分离，不会影响 Session 机制的使用。

再次，laravel/passport 是一套 OAuth 2.0 解决方案，其将 Access Token 通过 JWT 的方式包装后响应给客户端。

所以，你的问题应当是：前后端分离 使用 HTTP API 交互 如何验权并保持用户登录态？。

最后，既然是内网应用进行交互，可以考虑完全不使用验权机制，直接走内部 VPC 即可。

@Wi1dcard 我现在遇到这样一个问题，本地环境配置了2个域名：api.mytest.com 和 admin.mytest.com。
admin.mytest.com 是纯静态页面，向api.mytest.com获取数据，中间会出现跨域问题，网上搜索案例是在apache 配置增加了Header set Access-Control-Allow-Origin *。增加后GET可以获取到数据，但是POST无法数据，游览器提示
Access to XMLHttpRequest at 'http://api.mytest.com/api/v1/passport/logi...=' from origin 'http://admin.mytest.com' has been blocked by CORS policy: Request header field api_token is not allowed by Access-Control-Allow-Headers in preflight response. 该如何解决？

@singhania 了解下扩展包：laravel-cors，不仅仅是配置一条 Header 那么简单。

@Wi1dcard 好的，非常感谢！