Quello che hai letto in merito al json-web-token non ha nulla a che vedere con ciò che viene usato nel progetto che hai scaricato. Da nessuna parte nel progetto che hai scaricato si fa riferimento al json-web-token.
La domanda che sorge, quindi, è: "perchè hai pensato che le due cose avessero a che fare l'una con l'altra"?

Una banalissima ricerca su Google cercando "${_csrf.parameterName}" ti avrebbe portato qui:
https://www.baeldung.com/spring-security-csrf

Ciò che viene usato nel progetto che hai scaricato è la Cross-Site Request Forgery Protection (CSRF Protection), che riguarda la protezione da attacchi, che nulla ha a che fare con la json-web-token di cui si parla nell'articolo che hai linkato e che riguarda un meccanismo di autenticazione.

Non trovi traccia nel codice di questa cosa perchè fa parte di Spring Security, una delle librerie già pronte di Spring.


Ciao.