OAuth で JWT (JSON Web トークン) を使用するためのこの仕様を読んでいます。
2.1および2.2では、JWT を Authorization Grants または Client Authentication として使用できることが示されています。
私の理解では、認証とは何かを識別すること (このユーザーは彼が主張する人物です) であり、承認とはユーザーが要求したことを実行できるかどうかを確認することです。
リクエストは署名によって暗黙的に識別されるため、承認付与としての JWT は理にかなっています。このメソッドをサポートするほとんどの API は、JWT を承認付与として使用します。salesforceとgoogleを参照してください。
ここが私にとって混乱を招くところです。別のものとしてJWT認証が必要なのはなぜですか? JWT認証はどのような状況/ユースケースで必要になりますか?