OAuth 2和JWT - 如何设计安全的API？