כמעט נכון.ה FLOW של JWT עובד ככה:
1. המשתמש מאומת עם שם משתמש \ סיסמא מול end point יעודי לאימות, לדוגמא localhost.com/api/token
2. אותו שרת מאמת את המשתמש ושולח בחזרה TOKEN - התוקן בנוי ממידע על היוזר וגם KEY מוצפן המכיל בתוכו את אותו מידע על היוזר אבל כאמור בצורה מוצפנת שרק אותו שרת יכול לפתוח.
3.כל בקשה מול ה REST API דורשת מהקליינט לצרף AUTHORIZARION HEADER המכיל את ה TOKEN
4. ה REST API בודק כל בקשה שמגיעה אליו להימצאות ה HEADER הנ"ל
5. במידה וה HEADER אכן נמצא נשלחת בקשה אל אותו שרת ייעודי מסעיף 1 לאימות של ה TOKEN
6. אותו שרת מאמת את ה TOKEN על ידי פיענוח של ה KEY המוצפן המצוי ב TOKEN
7. השרת מחזיר תשובה אל ה REST API אם הזיהוי הצליח.
ככה שמהרגע שה TOKEN נוצר אין צורך לפנות שוב ל DB כדי לאמת אותו. הוא גם לא מכיל את הסיסמא של היוזר.
שיב לב שבמקרה שלך אני מאמין שה REST API והשרת TOKEN נמצאים על אותו שרת מארח.