認証認可API鯖(ID:PASS管理 & JWT発行) + リバプロ鯖(ルーティング & JWT検証) + 普通のMVC鯖(Java)の構成なんだけどログインの設計がよくわからん

リバプロのJWT検証機能はOFFにして
MVCでJWT検証をするのがいいのか

リバプロの設定で頑張ってJWT検証して
MVCはリバプロを信じてノーガードにするのがいいのか

そもそもJWTはオンラインに流さずDBに保存し
普通にセッションを構築して
リバプロを素通りにして
MVCから認証認可APIに問い合わせるべきなのか