валидация идёт на основании public и private keys

У lexik jwt есть какой-то инструмент для генерации рефреш токена?

по-моему, нет

Всмысле у тебя два BE? Один выписывает токены, а на второй идут пинги "я залогинен"?

Пошел гуглить, как генерировать рефреш токены, а то я как лох повелся на просьбы фронтендера делать jwt токены без exp time

нет, 1 BE, на котором всё происходит

Тогда повторю вопрос, для чего тебе jwt?

ну это считается не очень хорошей затеей.

ну а что обычную PHP-сессию через куки? запиливать?

Да, её в симфони уже за тебя запилили, надо просто начать использовать.
И всё таки обратить внимание на картинку выше

Подходящее ли это решение для SPA приложений?

ладно, это сейчас пошло погружение в дебри.

от основной проблемы конфигурации 2fa это не избавляет

Jwt полезен, когда тебе надо чтобы твой FE сходил в какой нибудь сервис, например залить картинку в s3.
Ты обращаешься к своему BE, он тебе выписывает jwt с которым ты идёшь в s3. Этот jwt одноразовый.
S3 на своей стороне может проверить подлинность токена, а также достать из токена требуемую информацию, например кто ты и на какие операции имеешь право.
Проверить он это может без обращения на твой BE, потому что у него есть ключ для проверки подписи. В этом смысл jwt, а ты сделал сессию, почему так делать плохо показано выше на картинке

рефреш чечерз БД проверяется
там могут быть стратегии: принимать ранее выданные рефреши, или всегда обновлять и всегда один актулаьный рфереш

Дай угадаю, spa кладет jwt и refresh в localstorage?

ну, допустим. тогда получается, что только нужно vue отучить отправлять bearer при каждом реквесте.

сессионная кука сама отправится на BE-сервер

А это на производительность не сильно повлияет? Просто если через базу, то звучит как крайне удобное решение

через базу - это уже фича. Как написали выше, если ты всякие стратегии хочешь реализовать