Ja genau, das ist ja letztlich was ich oben schrieb:
JWT ist sinnvoll für die Verwendung zwischen verteilten Systemen, aber für eine einfache SPA unter der gleichen Domain wie die API eher Overkill.
Warum ich so darauf herumreite: Es gibt haufenweise Tutorials im Netz die JWTs als das Mittel der Wahl für SPAs darstellen, und Entwickler denen das Konzept neu ist bauen das nach ohne zu hinterfragen. Und dann steht der Token am Ende doch im localStorage und ggf. spart man sich sogar die Refresh-Logik, was zu einer schlechten Nutzererfahrung führt, da man irgendwann plötzlich ausgeloggt wird. Oder noch schlimmer (habe ich leider schon oft genug in freier Wildbahn gesehen): Man verpasst dem Token kein Ablaufdatum. Dann hat man Tokens verteilt die man nicht revoken kann (außer natürlich man ändert das Secret für alle Tokens).
Insgesamt ist Authentifizierung mittels JWT deutlich komplexer und es ist auch schwerer das sicher und vollständig zu implementieren, daher meine Empfehlung wenn man einfach nur einen normalen User-Login umsetzen möchte und PHP nutzt (in anderen Sprachen wie JS/NodeJS gibt es auch diverse Frameworks die das können): Sessions nutzen