Я сам недавно разбирался с вопросом. Конкретно в вашем куске кода, вы должны с клиента передавать ваш JWT токен, паспорт его расшифровывает, и если он совпадает с нужным пользователем - то вы прошли авторизацию. При этом, насколько я понял, подделать этот токен, не зная секретного ключа - нельзя, только украсть.
Подробные уроки, которые помогли мне -
Здесь
Примерно с 42-43 урока