O unico ponto que eu alteraria no seu fluxo é substituir o jwt por sessões gerenciadas pelo servidor. JWT não pode ser revogado
Em resposta a Autenticação com Cookies HttpOnly, Secure e SameSite
3
1
Opa, obrigado pela sugestão. Vou ver como posso abordar no texto a opção de sessões gerenciadas pelo servidor. Sobre o JWT, acho que fui um pouco ambíguo em algumas partes, vou deixar esse ponto mais claro também. Valeu.