Oi Queren!
Não se preocupe, são dúvidas comuns sim ;)
Basicamente, existem duas abordagens para se desenvolver uma aplicação:
- Aplicação Web tradicional (frontend + backend juntos no mesmo projeto)
- API Rest (frontend num projeto e backend em outro projeto)
Em aplicações Web tradicionais não se utiliza tokens para a parte de segurança, pois o frontend está totalmente integrado ao backend. Em java seria um projeto utilizando Spring Boot e a parte do frontend seria com Thymeleaf por exemplo. Nesse tipo de aplicação, os controllers não devolvem JSON, mas sim navegam para as páginas que estão no mesmo projeto e o HTML final dela será devolvido para o navegador.
Em API Rest, o backend não tem a parte visual do frontend, e por isso apenas recebe os dados (geralmente em JSON), faz validações, processamento, persistência, etc., e no final ele devolve apenas dados para quem disparou a requisição, pois não tem telas para navegar. É o caso onde o frontend será feito em outro projeto (geralmente com Angular ou React) e ele que faz as chamadas para a API e envia/recebe os dados. Como o front é separado, aqui entra o proceso de segurança utilizando tokens, pois são duas aplicações distintas se comunicando e não mais apenas uma mesma aplicação.
API Rest é mais indicado nos casos em que você terá mais de um cliente para a aplicação (navegador, app mobile, etc). Antigamente isso não existia, pois as aplicações eram acessadas pelos usuários apenas do navegador, então sempre fazia sentido devolver HTML como resposta. Mas quando temos um aplicativo mobile que também precisa se conectar com a aplicação, não faz sentido ele receber HTML de volta nas requisições, pois ele não utiliza HTML para desenhar os componentes visuais. Justamente por isso que o frontend foi desacoplado do backend. Ou seja, o backend agora apenas lida com as informações, mas cada cliente é reponsável por utilizar suas tecnologias específicas para desenhar os componenetes visuais e interagir com os usuários.
