JWT — stateless, и это его главная слабость для revocation. Сравни 3 стратегии отзыва (blacklist, short-TTL + refresh, jti tracking), их latency/storage cost, и когда какую выбрать.