Comentando sobre a necessidade de persistência, pode ser interessante implementar para que seja possível a funcionalidade de anular os JWTs já emitidos.
Dessa maneira, seria necessário verificar na base de dados se o token ainda é válido antes de autenticar.
Obs.: caso queria inserir informações sensíveis no token, existe o conceito de JWE (superficialmente, jwt encriptado).