Вы можете использовать шлюз API для проверки токена JWT, но для начала вам нужно что-то, чтобы выдать этот токен, и это будет служба авторизации.
Токен можно проверить, не связываясь с авторизацией. если вы заранее получили его открытые ключи, чтобы вы могли проверить, что JWT был создан с ним (см., например, https://jwt.io/)). Кроме того, вы хотите, чтобы токен выдавал некоторые утверждения, например, в момент (iat), которые должны быть в прошлом. ; срок действия (exp), который должен быть в будущем, эмитент (iss), который должен быть вашей службой аутентификации, время входа в систему (auth_time) должно быть в прошлом, аудитория (aud) идентификатор вашего проекта и, возможно, несколько пользовательских утверждений, имеющих отношениек вашему проекту
Если у вас есть все это, вы действительно можете применить авторизацию на шлюзе API