Маркер защиты от подделки защищает от CSRF-атак, основанных на файлах cookie.
Пока ваш JWT вручную привязан к выбранным запросам (в отличие от файлов cookie, которые прикрепляются к каждому запросу вбраузер) CSRF больше не возможен.
Итак, ответ таков: это верно для токенов, которые не отправляются в куки.