security - 使用JWT跨微服务实现零信任

我计划在我的微服务上实现JWT身份验证，以实现零信任架构。用户将通过前端微服务生成JWT令牌。每个后续请求都将包含此JWT，该JWT将被转发到后端服务，因此该服务可以自己对用户进行身份验证，而不是从前端服务中获取简单的用户ID。该方案在两种情况下均失败

用户在前端服务上发起呼叫，这会生成一长串要在后端服务上依次执行的步骤。 JWt令牌最终将到期，并且步骤序列将停止，因为后端服务将不会使用过期令牌对前端的进一步请求进行身份验证
后端服务通过内部流程在用户资源上启动某些流程。例如如果发票未付款，请删除用户服务器。

在这两种情况下，用户都无法通过登录凭据生成新的JWT令牌。除了JWT之外，我还应该实施一个针对时间和目的的令牌来解决这些问题，还是有更好的替代方法？