Правильный способ управления динамическим секретом в JWT Json Web Token

Мне нужна информация о правильном использовании JWT.

В моем случае у меня есть шлюз, который является единственной точкой входа для всех остальных сервисов, этот шлюз имеет встроенный список пользователей с секретом jwt для каждого пользователя.

Каждый раз, когда на шлюз поступает запрос, мне нужно проверить токен с его уникальным секретом.

Возникает вопрос: правильно ли декодировать токен, не заботясь о подписи, получить "имя пользователя" или "идентификатор пользователя (неразумно)", хранящиеся в токене, чтобы запросить базу данных, получить относительный секрет и проверить его с этим?

Если это неверно, не могли бы вы дать мне ссылку, где я могу узнать, как это сделать?

Спасибо заранее.