Как я понял из вашего поста, вы используете учетные данные клиента в качестве типа OAuth в сочетании с токенами JWT?
В этом случае информация аутентификации кодируется внутри JWT.Достоверность JWT проверяется сервером ресурсов с использованием открытого сертификата сервера авторизации.Автономные токены, такие как JWT, не должны быть отозваны.Если токен JWT является проблемным, он действителен до тех пор, пока не истечет время его истечения.
Сервер ресурсов и / или сервер авторизации не имеют средств для выхода из клиента, если только не поддерживаются и постоянно проверяются какие-либо черные списки JWT,Это исключило бы цель использования (автономных) токенов JWT.