Handelt sich eigentlich um ein ziemlich ordinäres Login System, wo der Client quasi eingeloggt bleibt und so auf einen privaten Bereich Zugang hat. Hier böte sich natürlich auch die PHP SESSION Variable an, die ja aber aber den "Nachteil" mit sich bringt, dass die Beziehung Client/Server dann nicht mehr stateless ist (Frage der Skalierbarkeit).

Es ist IMMER das billigere Verfahren, welches besser skaliert. Und wieso sollte eine Session etwas am stateless-Charakter von HTTP[S] ändern? Sessions skalieren übrigens sehr gut. Oder arbeitest Du an einer Lastverteilung via Level-3 Switching, willst also mehrere Server auf verschiedene Rechenzentren von Telkos oder dergleichen verteilen? Da sehe ich jetzt auch keinen Vorteil von JWT. Die Daten müssen (wenn die Session auch „reisenden“ Clients stabil zur Verfügung stehen sollen) so oder so zwischen den teilnehmenden Servern ausgetauscht werden. Bei Round Robin auch…

Zwar ließen sich mithilfe der SESSION Variable Brute Force Attacken durch Rate Limiting ganz gut in den Griff kriegen - das müsste aber andererseits eigentlich auch mit mit Zeitstempel versehenen JWT Tokens gut umsetzbar sein…

Weder noch. Brute Force abzufangen sollte wegen des zwingend mit diesen verbundenen DDoS-Charakters immer so billig wie möglich erfolgen. JWT sind teuer in Erzeugung und Auswertung.

Und vor allem sind die JWT für was anderes, viel komplexeres als Sessions gedacht. Einfache Regel: Was mehr Logik erfordert ist teurer.