На мой взгляд, отдельный API метод `verifyToken` - это перебор. С ним теряется вся суть JWT.
Идея JWT-авторизации в том, что клиент может сам проверить подлинность токена, проверив его подпись. И если он подлинный, доверять его содержимому без дополнительных запросов на бэкенд.