SPAなどでフロントエンドとバックエンドを分けて開発する際には、認証の仕組みもJWTなどでのトークンベースで行う必要があるかと思います

いいえ、Cookieベースのセッション管理も使うことができます。

理由は例えばJWT認証では、セキュリティ的な問題でトークンの有効期限を短く設定しなければならないとされているからです。
頻繁にログアウトされてしまっては、あまりECサイトなどでは向かないと思ったのですが、実際の所トークンベースの認証はどういったシステムやサイトに向いているのでしょうか。

いいえ。たしかにJWTの有効期間は短くすることが推奨されていますが、リフレッシュトークンによりJWTを再生成するので、ユーザーからはログインが継続しているように見えます。

認証方式によって向き不向きなどありましたら、教えて頂けましたら幸いです

Cookieが使えるならCookieでよいし、Cookieが使いにくいならJWTを使えば良いと思います。Cookieが使いやすい条件とは、ウェブサーバーとAPIサーバーが同じドメインである場合で、これらが同一サーバーにあるなら自動的に
同じドメイン」ですし、たとえば

• ウェブサーバー: www.example.jp
• APIサーバー: api.example.jp

のようなサブドメインを使っている場合、Cookieとしては domain=example.jpとすれば同じドメインになるのでクッキーが使いやすいです。
一方、ウェブサーバーとAPIサーバーが異なるドメイン上に配置されていると、最近のCookieの仕様変更によりCookieは使いにくくなっているので、無理にCookieを使わずにJWTあるいは他のトークンにすればよいと思います。