La opción correcta es la 2º.
Aunque haya que hacer una consulta a google por cada petición para decodificar el token, la verdadera razón es que el token que genera el servidor puede contener otros datos relativo a la aplicación: permisos, perfil, o lo que nos interese.
Para generar los Token en el servidor PHP jwt
composer require firebase/php-jwt