サーバサイドでJWTの即時無効化機能を持っていないサービスは脆弱なのか? - くろの雑記帳

https://kurochan-note.hatenablog.jp/entry/2022/04/18/112307

「ステートフルなセッション識別子は、ログアウト後にはサーバー上で無効とされるべきである。ステートレスなJWTトークンは、攻撃者の機会を最小にするために、むしろ短命であるべきである。寿命の長いJWTの場合は、アクセスを取り消すためにOAuth標準に従うことが強く推奨される。」

これにつきますね。
JWTがどうこうじゃなくて、特性を考えて使い所や寿命を考えていかないと、論争になりがち。