Хочу отметить, что в качестве механизма аутентификации не обязательно использовать концепцию пары JWT‑токенов — иногда лучшим решением могут оказаться обычные сессии. Всё зависит от архитектуры вашего проекта.

Не обязательно именно JWT. Можно и initData с каждым запросом гонять. Но подход с JWT (или сессией) более правильный с точки зрения разделения процессов аутентификации и авторизации. Также, часто в JWT токены зашивается и доп.информация, например у меня в проекте это роли и аттрибуты пользователя. При обработке запросов на сервере мне удобнее работать именно с JWT.