Supongamos que estoy desarrollando una aplicación basada en cliente para Android / ios o una aplicación javascript para cualquier navegador.
Para identificar a un usuario, usaré OpenIdConnect con el flujo implícito. El IDP proporcionará id_token y access_token según lo solicitado. Las llamadas a la API utilizada se protegerán a través de JWTBearer-Tokens enviando el access_token a la API.
El frontend hará un ajuste de seguridad a través del id_token, pero nada sofisticado.
Ahora me estoy preguntando ...
¿Por qué debería importarme cargar el material clave del IDP y verificar si el id_token es válido?
¿Qué son los casos de uso para aplicaciones nativas (y js), que hacen que sea necesario o útil verificar la validez de id_token?