Когда нужен делегированный доступ от пользователя к стороннему сервису, разделение ролей клиента и ресурса и стандартные флоу (authorization code, client credentials).

Хранение токена в localStorage без защиты, отсутствие ротации/ревокации, слишком долгий срок жизни и отсутствие проверки аудиенции/issuer.

Всегда использовать HTTPS, ограничивать CORS, валидировать входные данные, внедрять rate limiting, защиту от brute force и логировать аномалии.

Более компактный бинарный протокол, строгое контрактное API через Protobuf, двунаправленный стриминг и лучшая производительность для внутренних сервисов.

Для публичных API, интеграций с внешними командами и браузерами, когда важна простота и совместимость с HTTP-инструментами.