У меня есть API, основанный на конечных точках Google Cloud, и я хочу использовать JWT (Json Web Tokens) для авторизации. Я могу установить заголовок авторизации для каждого запроса, который содержит токен, и он работает правильно. Я знаю, что конечные точки используют этот заголовок для Oauth2, и вот мой вопрос. Правильно ли использовать заголовок авторизации для пользовательского токена? GAE журналы:

D 12:38:44.375 Checking for id_token.
D 12:38:44.376 id_token verification failed: Unexpected encryption algorithm: u'HS256'
D 12:38:44.376 Checking for oauth token.
D 12:38:44.384 Oauth framework user didn't match oauth token user.

Похоже, GAE пытается прочитать этот токен как маркер oauth, и это не хорошо, верно? Может быть, я должен отправить свой токен в URL? Что-то вроде app-id.appspot.com/_ah/api/my_app/v1/users/get?jwt=TOKEN. Может быть, мне не следует использовать JWT с конечными точками Google Cloud?