使用JWT联合身份验证的REST身份验证/授权

我正在开发一个使用REST公开服务的应用程序。这些服务将通过浏览器和非浏览器客户端访问。我预计这个软件的安装将由不同的团体拥有和管理。我想让一个系统的用户访问另一个系统的服务。他们不会共享相同的身份存储。如果用户可以对其实例进行身份验证，然后使用令牌向其实例和远程实例发出请求，那么我希望这样做。这对于JSON Web令牌（JWT）来说似乎很好用。每个系统都需要配置为信任由证书签名的其他令牌。使用JWT联合身份验证的REST身份验证/授权

我已经读过，这可以使用OAuth与JWT承载令牌完成，但是这似乎比需要更多的开销。为什么要交换不记名令牌作为访问令牌而不是使用持票人令牌？我质疑OAuth是否适合，因为它不控制系统是否可以访问用户的数据，除非网络上的许多例子，但用户是否可以访问存储在系统中的数据。

问题的下一部分是确定如何创建这些JWT令牌，看起来像WS-Trust STS是合适的。我还没有看到任何简单的认证用户并返回令牌。对于扩展令牌的有效期和令牌验证的支持可能有用吗？

在过去，我能够使用WS-Security和SAML Assertions的SOAP来启用这种类型的功能。我想看看是否可以使用REST和JWT令牌完成相同的操作。网络上有很多帖子建议不要推出自己的安全框架，所以我一直在向前推进一些犹豫。我看到微软已经增加了处理程序来处理使用JWT令牌的服务保护，所以他们似乎看到了这种方法的一些价值。

有没有人对如何在兼容标准和简单方式下完成REST服务的这种联合身份验证有所了解？