در حقیقت مقایسه cookies با JWT token اشتباه است. همونطور که خودتون گفتین JWT یک نگع توکن امنیتی ولی کوکی مکانیزمی برای ذخیره سازی اطلاعات در مرورگر کاربره.
در مورد stateless بودن هم برداشت شما درسته و اگر بخام تکمیلش کنم باید بگم که در سیستم های stateless اطلاعات session در cache ذخیره میشه نه در لایه اپلیکیشن.