Вам нужно начать думать о Аутентификация и авторизация отдельно. Ваши JWT (надеюсь) выполняют обязанности аутентификации. «Ограниченный доступ», о котором вы спрашиваете, касается авторизации. Другими словами: теперь, когда вы знаете, кто этот пользователь, что ему разрешено делать?
Вам необходимо сопоставить свои JWT с каким-либо внутренним идентификатором пользователя, а затем определить, могут ли они получить доступ к запрошенный ресурс / конечная точка / et c.
Например, вы можете разрешить всем пользователям ПОЛУЧИТЬ с /jobs просмотр списка объявлений о вакансиях, но если они попытаются от POST до /apply для работы вы подтверждаете, что они «премиум», и у них остается время на платную подписку.