pac4j: проверьте пароль перед отправкой JWT

Я хочу проверить логин и пароль пользователя перед выдачей ему токена JWT. Есть утилита для аутентификации пользователя по JWT - JwtAuthenticator.

И совершенно ясно, как его можно использовать, скажем, с ParameterClient.

Но проблема здесь в том, что когда пользователь впервые заходит на мой сайт - у него точно нет токена JWT. Итак, я считаю, что он должен как-то зарегистрироваться, а затем, возможно, войти в систему с паролем для входа, и только когда его логин / пароль действительны, мы должны отправить ему JWT как cookie или любым другим способом. Я прав?

Если да - как правильно реализовать это поведение?