O token gerado pelo JWT, por si só, já é suficiente para ter uma autenticação segura?
Bastaria decodificar, verificar o id, data de expiração e, estando certos, conceder o acesso aos recursos restritos?
Ou teria mais alguma outra camada de segurança?