如果已经调用了GetUser，那么还需要对访问令牌进行JWKS验证吗？

【以下的问题经过翻译处理】 如果有一个附加了JWT授权程序的API Gateway v2 -> Lambda，则该lambda将接收到一个形式为“Bearer ewyxa....................”的authorization header，其中“Bearer”之后的所有内容均为访问令牌。此时，如果您需要获取用户属性，则可以使用该令牌调用cognito GetUser。我已经做到了这一点，它运作良好，但这使我想到了一些问题：

如果我调用GetUser()，是否还需要对访问令牌进行JWKS验证？文档说明GetUser需要一个未过期的访问令牌。要知道它没有过期，必须检查签名。文档没有说明它是如何做到这一点的（JWKS，还是cognito的内部机制）。这使我想知道是否需要附加用户池授权程序。如果没有授权程序，我仍然可以从标头中获取访问令牌，然后调用GetUser()，这将完成两项任务：获取用户属性，并同时验证访问令牌未过期且其签名良好。它甚至可能会检查访问令牌是否已被废止。

在GetUser的文档中，https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_GetUser.html，并没有说明应该如何处理上述的问题。

所以，有人可以验证我的理解是否正确吗？