Как раз об этом я и пишу в последней главе статьи.
Предложенный мною вариант — просто альтернативный способ решения проблемы, без использования куки с сессионной информацией.
По сути, Ваш подход мало чем отличается от предложенного в статье. Какой-то ID, содержащийся в токене и в БД, позволяющий валидировать конкретный токен...
Я не рассматриваю определенные виды атак.
Здесь идет речь в целом о необходимости дополнительного механизма инвалидации токенов при использовании JWT.