SSRF — один из них, нет, не CSRF.
В настоящее время JWT де-факто используется для аутентификации.
Долги дни сессионных куки. Хотя некоторые убили бы, чтобы вернуть их.
С новыми вещами приходит головная боль. Для чего нужен этот JWK? Для чего нужен JOSE? Что произойдет, если кто-то украдет мой токен? Или файл cookie?