JWT - это механизм авторизации, а не аутентификация.Если у вашего пользователя есть токен, этот обработчик не может подтвердить, что пользователь является тем, кем он себя считает.Поскольку состояния нет, токен используется только для подтверждения, если пользователь авторизован для определенной роли.Таким образом, вы можете выполнять только isAuthorized() звонки.