Вроде как тут одно частный случай другого, поэтому уточните вопрос.
Ну как я понял в предложенной выше схеме:
В качестве сессии и для межсервисного взаимодействия используем jwt + refresh token.
Если токен украли, то инвалидейтим рефреш токен юзера, у которого угнали jwt + ВСЕ jwt токены.
В варианте, который меня интересует:
В качестве сессии используем стандартные token-based сессии, а jwt храним в сессии на сервере. Если токен сессии угоняют, просто инвалидейтим его в хранилище сессий