Nesse caso não daria pra usar JWT da mesma forma que fazemos pra autenticar um usuário em aplicações web normalmente?