JWT главным образом решают проблему, чтобы тебе не приходилось обращаться к базе данных, пока этот токен живой.
Когда токен истекает, тебе нужно его продлить.
работает это примерно так:
- есть access-токен - временный короткоживущий токен, который отправляется с запросами к API. Он не сохраняется в бд
- есть resresh-токен - тоже временный токен, но намного дольше, чем предыдущий. Этот токен нужен, чтобы продлить access-токен, когда тот перестанет работать. Этот токен хранится в бд. И при обновлении access-токена каждый раз обращается к бд