Да, на первый взгляд оно конечно логично: web-токен должен порождаться web-api модулем. Но на самом деле можно придумать множество вариантов, где это правило не обязано соблюдаться. К примеру, в мудрёной микросервисной архитектуре web-токен может генерироваться где-то в недрах всех этих сервисов, и, прежде чем дойти до получателя, он пройдёт по цепочке из нескольких звеньев-приложений. В моём же случае всё чуть проще, мне нужно отдавать один и тот же web-токен как на REST-запросы, так и на gRPC-методы, а корневые обработчики всего этого добра, очевидно, располагаются в модуле core. Не буду рассуждать на тему того, насколько это архитектурно правильно, но что имеем, с тем и работаем.
И, судя по всему, из-за этих весьма сомнительных ограничений придётся руками генерировать какие-то альтернативные токены, возможно jwt, и уже их костылями прибивать ко встроенной CUBA-авторизации