Na pior das hipóteses uma boa prática seria criar uma 'lista negra' no seu backend onde todos os tokens que estiverem contidas nela, serão considerados inválidos. Essa é uma estratégia interessante para quando tiver algum tipo de acesso malicioso
Respondendo a "Vai depender muito do seu backend também, utili..." dentro da publicação LocalStorage, Cookies e SessionStorage
1