API key vs JWT vs OAuth?

API key — простой токен, идентифицирует приложение, без scopes и expiration. JWT — self-contained token с claims (user id, roles, expiry), сервер не ходит в базу для проверки, подписан криптографически. OAuth — протокол делегированной авторизации, выдаёт access token (часто JWT) через authorization flow. API key для простых интеграций. JWT для stateless auth между сервисами. OAuth когда пользователь разрешает третьему приложению доступ к своим данным. Можно комбинировать: OAuth flow выдаёт JWT, который используется как bearer token.