Василий

JWT это коробочка. Вот коробочки бывают с замком и без замка. Коробочку без замка может любой открыть и прочитать. коробочке с замком нужен ключик. Вот у вас Алиса и Боб знают этот ключик и могут обмениваться данными в этой коробочке. А кто то третий не знаю ключика не сможет не подменить коробочку , не достать из нее данные. не положить в нее другие. Вот собственно как работает JWT

Во время работы приложения - каким образом фронтент понимает, что отображать?

Зачем фронтеду что то понимать ?
фронт шлет запрос получает данные показывает, получает 401 показывает страницу с авторизацией, получает 403 сообщает дескать прав нет.
Все что следует делать фронту это слать с запросом куку, заголовок с ключем или еще как.

https://blog.getsocial.im/device-fingerprinting-fo...
Вот тут написано общий смысл