Для начала надо сделать авторизацию на примитивах, чтобы разобраться. Jwt не решит твоих проблем, а только добавит пачку нрвых

Ну, если цель разобраться, тогда встроенное хранение сессии ринга в куках тоже читерство :)
Но да, практичнее будет использовать его, чем JWT, Я вообще было советовал использовать HMAC самостоятельно.
А ринговский cookie-store использует прям шифрование, не только подписывая сессию (доказывая серверу подлинность), но даже не раскрывая клиенту её содержимого. Что тоже может быть полезно.

было у нас тут дискуссия на тему что JWT как сессионный токен такая себе идея

То было про разновидность JWT на RSA или другой асимметрике — которые можно проверять, не спрашивая с сервера с ресурсом авторизующий сервер, выдавший токен. В условиях, когда авторизующий сервер не доверяет ресурсному достаточно, чтобы дать ему ключ для генерации токенов. Да и в целом когда выдают и проверяют токены разные стороны.

И у него да, есть косяк — после выдачи его не отозвать, придётся дождаться пока он истечёт. Что ограничивает его применимость.

Но это лишь одна из. Есть и просто данные с HMAC, где секрет для генерации и проверки один и тот же, поэтому между авторизующим и ресурсным сервером должно быть доверие (а если это один сервер, как здесь, оно точно есть).

коллеги а

это можно лучше написать?

Два условия — лучше использовать if.

Ну а так, можно посмотреть в сторону some->

Хотя, там же про пустую строку, тогда, наверное, лучше if.

и сначала лучше дропнуть лишнее, а потом уже upper-case, мне кажется

согласен. точно два ифа

Здесь смешивается условие и обработка.

Если присмотреться, то (when-not (string/blank? x) ...)

Здесь уже нет «условий», здесь выражения - преобразования.

Цепочка преобразований

not-empty — как-то не очень по ощущениям.

А мне норм.
В)

Вполне себе преобразование. «Дискретное», если хошь.