У меня в общем токен хранится на бэкенде.
А вебу я отдаю простую стрингу после аутентификации, которую он передает в заголовке вместо жвт.
Плюс в том, что я всегда могу разорвать сессию, так как клиент не владеет токеном.
Если у пользователя есть рефреш токен, то там задача по инвалидации этого токена становится довольно неочевидной - например, один из вариантов делать блэклисты.