У меня есть новый SPA с безстоящей аутентификационной моделью с использованием JWT. Меня часто просят передать OAuth для потоков аутентификации, например, просить меня отправлять "токены носителей" для каждого запроса вместо простого заголовка токена, но я думаю, что OAuth намного сложнее простой проверки подлинности на основе JWT. В чем главные отличия, следует ли заставить JWT-аутентификацию вести себя как OAuth?
Я также использую JWT как мой XSRF-TOKEN для предотвращения XSRF, но меня просят сохранить их отдельно? Должен ли я держать их отдельно? Любая помощь здесь будет оценена и может привести к набору руководящих принципов для сообщества.