Połączenie JWT z Oauth2 wydaje się bardzo kuszące, niemniej jednak jedyny największy problem tego rozwiązania jest deaktywacja sesji, jeśli np chcielibyśmy usunąć danego użytkownika, jednak jego assess token jest wciąż ważny. Jedynym sensownym rozwiązaniem w tym wypadku jest użycie na gateway black listy, przy czym nie jest to super rozwiązanie z punktu widzenia security. Czyli przy każdym requeście sprawdzamy czy token danego usera jest nadal aktywny. Więc nasuwa się pewne pytanie, to po to używamy JWT aby ograniczyć zapytania, jednak z drugiej strony musimy sobie poradzić z problemem deaktywacji sesji. Myślę, że najsensowniejszym rozwiązaniem jest użycie samego Oauth2 na gateway a następnie użycie JWT po stronie mikroserwisów. Tak naprawdę JWT wraz z Oauth2 super spisuje się po stronie mikroserwisów, ponieważ nie muszą odpytywać serwera za każdym razem. Natomiast od strony klienta użycie samego Oauth2.