OIDC - какой смысл двух отдельных токенов - access и id?

Я пытаюсь понять, почему у нас просто нет одного токена, который служит обеим целям - авторизации и аутентификации?

В некотором смысле токен доступа делает больше, чем просто авторизация. Он также предоставляет идентификатор пользователя (в sub претензии) и после проверки, API (audТокен) знает как - кто ты и что тебе разрешено делать.

Идентификационный токен, с другой стороны, предназначен для клиента, но в случае SPA я вообще не вижу в этом никакого смысла. SPA извлекает оба токена, идентифицирует токен ID канала и использует токен доступа для связи с API.

Некоторые вопросы: - Из-за исторических причин мы застряли с двумя отдельными токенами? - Когда мне действительно нужен идентификационный токен? Что SPA делает с этим?