Я реализую oauth2 с JWT для внутреннего сервера SPA +, который использует Auth0 в качестве моего Idp. Я следовал документации по Auth0 и пришел к решению, где мой SPA отправляет токен идентификатора, который он получает от Idp, на сервер в качестве токена носителя в заголовке авторизации. Сервер получает открытый ключ от jwks и проверяет токен, прежде чем отвечать какими-либо данными. Это работает, и я считаю, что это безопасно. Но в комментариях к этому сообщению в блоге автор заявляет, что "этот токен [id_token] не должен использоваться для аутентификации в бэкэнде)".
Почему токен jwt id нельзя использовать для аутентификации на бэкэнде?