Um ponto sobre segurança do seu código, você deixou o secret do JWT hardcoded, isso permite que qualquer pessoa que leia seu código consiga falsificar tokens de autenticação. O ideal é deixar isso como uma variável de ambiente.