En los modelos de autenticación SAML y Kerberos, existe una comprensión explícita de qué autoridad ha autenticado al usuario y ha emitido la credencial para que los sistemas posteriores confíen en ella. A los fines de la propagación de identidad, los derechos del sistema posterior para hacerse pasar por el usuario pueden controlarse estrechamente dentro de la arquitectura de la solución y los dominios de identidad asociados.
Por lo que puedo decir, la integridad de los modelos SAML y Kerberos no es parte del enfoque de JWT. JWT parece ser un mecanismo que proporciona una funcionalidad bastante similar a Kerberos, pero sin la funcionalidad de soporte de un KDE definido.
¿Me estoy perdiendo algo? ¿Se basa JWT en una "red de confianza" o cada implementación de JWT es responsable de definir su propio mecanismo de autenticación confiable, etc.?