很可能您要使用的一些“社会”身份提供者不允许您直接使用他们的授权服务器，或者只是不提供JWT（一些只支持令牌内省）。
我强烈建议您选择一个能够进行身份联合的OIDC授权服务器来代理所有异构身份提供者。（如Keycloak）或在云中（Auth 0是一个示例，但几乎每个云提供商都有自己的解决方案）。这还将为您提供一个集中的位置来处理您可能需要的其他用户安全数据（喜欢角色）。
此授权服务器将是Spring REST API的唯一身份颁发者，您将配置为resource-server。有关详细信息，请参阅this tutorials。
对于移动的客户端，我的做法是将用户从应用重定向到授权服务器进行登录（这在系统浏览器中打开），然后设置“深层链接”，以在原生应用中打开授权代码作为响应。结束OAuth2授权代码流的框架（将代码交换为令牌）取决于您用来编写原生应用的框架。