Я пытаюсь обернуть себя вперед, используя JWT для защиты WEB API, написанного на C #, но зацикливаюсь на нескольких вещах. Из моего понимания поток должен быть примерно таким:

Клиент предоставляет имя пользователя / пароль для веб-API из некоторого клиентского приложения (Angular, .NET, Mobile и т. Д.)Web API проверяет правильность имени пользователя и пароля, а затем генерирует JWT (JSON Web Token), который содержит роли пользователя, информацию, дату истечения срока действия и другую соответствующую информацию.JWT отправляется обратно клиентскому приложению.Клиентское приложение висит на JWT и отправляет его с будущими запросами.

Предполагая, что вышеприведенное верно (и, пожалуйста, дайте мне знать, если это не так), у меня возникли проблемы с пониманием следующих вещей.

Как Web-интерфейс подтвердил имя пользователя / пароль и создал JWT, как JWT возвращается обратно? Как-то добавить его в объект HttpResponseMessage? Я не могу найти четкого ответа на этот вопрос.Как клиентское приложение должно передать JWT обратно? Это в данных JSON, добавленных в URL, добавленных в заголовки?Я вижу множество учебных пособий, ссылающихся на OWIN и OAUTH. Что это и зачем они мне? Я храню учетные данные пользователя и роли в базе данных, используемой WEB API.