На всякий случай напомним общую идею JWT. У нас есть набор полей, в том числе какой-то идентификатор пользователя. Эти поля подписаны приватным ключом. И вся эта информация закодирована в строку, которая как раз и является токеном.
Когда сервер получает токен, он проверяет (хотелось бы верить, что он это делает!) валидность подписи. Если подпись валидна, то мы можем быть уверены, что пользователь прошел аутентификацию. Смело вытаскиваем id пользователя из полей и предоставляем доступ к ресурсу.