سلام و احترام

یکی از میزیت‌های مهم jwt اینکه self-contained هستش ینی اینکه اطلاعات مورد نیازشو مثل همین token رو داخل خودش داره و نیازی نیست داخل دیتابیس ذخیره سازیش کنید. حالا شاید شما دوست دارید از مزیت‌های دیتابیس هم بهره مند شید ولی اگه نگرانی این رو دارید که توکن شما لو نره مثلا داخل کوکی کسی اون رو ندزده راه‌های مختلفی وجود داره، برای مثال شما میتونید expire برای اون توکن بزارید تا طبق زمانی که شما تعریف کردید از بین بره و دیگه کاربردی نداشته باشه.

میتونید از Lax یا Strict هم استفاده کنید که امن هستن و از CSRF Token‌ها هم میشه استفاده کرد.

به شما پیشنهاد میکنم حتما مقاله https://dev.to/gkoniaris/how-to-securely-store-jwt-tokens-51cf مطالعه کنید تا دقیقا بدونید از چی باید استفاده کنید.