JWT - это просто способ кодирования претензий.Печенье разные.В конечном счете, это просто данные, которые передаются между клиентом и сервером через заголовки запроса / ответа.JWT не зависит от того, как он передается, а файл cookie не зависит от данных, которые передаются.Фактически, в настоящее время данные для файлов cookie аутентификации и тому подобное обычно являются JWT.
Итак, нет, в общем, к JWT не применяются политики кросс-происхождения, так как это просто способ кодирования некоторых данных.Однако JWT почти всегда, по крайней мере, подписаны, и часто также зашифрованы.Для безопасного чтения подписанного JWT вам понадобится поделиться ключом подписи, и, конечно, чтобы прочитать зашифрованный JWT, вам понадобится общий ключ шифрования или закрытый ключ из открытого / закрытого ключа.пары, когда используется асимметричное шифрование.
Длинные и короткие, в зависимости от того, что именно вы делаете, может оказаться невозможным или невозможным «поделиться» JWT, даже если перекрестное происхождение технически не являетсяпроблема.
Как правило, при централизованной аутентификации, такой как AD, каждое приложение независимо аутентифицируется на сервере идентификации, а не передает полученный токен другому.