Eu li muito sobre o JWT e como criar sessões "sem estado" através do JWT. A essência do que eu entendo é que, devido à assinatura e expiração, você pode essencialmente enviar a sessão inteira para ser salva pelo cliente e o servidor não precisa manter um banco de dados para se lembrar da sessão.

O que eu não entendo é o que acontece se o usuário precisar fazer logout ou se você precisar invalidar uma sessão antes da expiração?

Tecnicamente, você pode instruir o navegador a excluí-lo do lado do cliente, mas não pode ter certeza de que isso realmente ocorreu. Tecnicamente, o token ainda é válido e, se suas instruções de exclusão não forem seguidas, ele ainda poderá ser usado.

Este entendimento está correto? Em caso afirmativo, isso não é uma falha enorme no gerenciamento de sessões do lado do cliente? Existem métodos para superar isso, além de o servidor armazenar a sessão ou reduzir o tempo de expiração?