AccessToken, сгенерированный Loopback, не является JWT. Он не содержит зашифрованных пользовательских данных.
Вы можете сохранить его как cookie в браузере и прикрепить к последующим запросам API.
Обычно я использую Redis для хранения своих маркеров доступа, чтобы на сервере не было состояния. Это лучшее решение, если у вас настроено автоматическое масштабирование.