JWT令牌是否总是需要通过授权头发送

我们有一个不维护任何状态（甚至不是会话状态）的web服务，因此我们在服务器和客户端之间传输JWT令牌，其中包含客户端的加密状态

但是，我们还希望使用服务器的标准授权功能（如基本身份验证）来保护web服务端点

---

我所看到的关于JWT令牌的所有文档都表明它们应该通过授权头发送，这使得它与basic auth之类的东西不兼容。我知道没有什么可以阻止我们通过另一个头发送令牌，但是混合使用授权头和JWT令牌的标准授权技术是否有一些最佳实践？否则，是否有任何指导原则或实践表明，除了授权之外，您不应该在头中发送JWT令牌？

是机器对机器还是客户端不受信任（即启用JavaScipt的web浏览器）？客户端是不受信任的浏览器。如果JWT未用于授权，您可能不应该在授权标头中发送它。cookie是为了跟踪状态而发明的，所以只需在cookie中发送JWT，并使用BA的授权头即可。我要说的是，通常的做法是，基本身份验证（或任何其他身份验证）在交换JWT时进行一次，然后JWT完成未来的身份验证（和授权）。这就是它通常通过身份验证头发送的原因。如果出于某种原因，您希望坚持使用基本身份验证对后端的每个调用进行身份验证，那么JWT不再用于身份验证，您必须将其放在X头中。问题是，如果JWT中有状态（包括“logged-in:true/false”），为什么要重复reach调用的身份验证过程？