Lembrando que a maior vantagem do JWT é ser stateless (então você não tem a mesma carga no servidor que autenticação por sessões, pelo menos), mas tem a grande desvantagem de você não poder deslogar o usuário. Essencialmente só valida se o JWT é válido e o usuário tá logado até o token expirar.

Pra mitigar isso é importante ter um access token (mais curto, durando talvez 15 minutos) e um refresh token com duração mais longa. Dessa forma, se o access token for comprometido, tem menos tempo pro hacker fazer besteira.

Implementar uma política de token blacklist pra contornar isso tira a vantagem do JWT, aí vale mais a pena só usar sessões mesmo.

Pra painel de admin, o melhor é autorizar o acesso só a partir de alguns IPs.