Вы несколько странно представляете работу jwt
но ваша цель проста, должен быть отдельный сервис аутентификации, который генерирует токен, выдает его и менеджит в дальнейшем. Этот сервис может находиться как на основном домене, так и на отдельном поддомене аля auth.домен.ком
чтобы понять залогинен пользователь или нет и действителен ли у него токен (не истек ли по времени) смотрим эти данные в пейлоаде токена
https://jwt.io/ (это простая операция, которую может выполнять даже клиентское приложение на js)
p.s. а вот чтобы сделать разлогинивание, надо вам изучить тему jwt получше, так как на пальцах это не объяснить, если вы не в теме) лишь небольшая подсказка: так как это несколько противоречит stateless подходу токенов, вам нужно будет 2 токена
update: насчет одновременного логина поддомена нужно немного накостылить
https://stackoverflow.com/questions/4026479/use-lo... 
