¿En qué parte de la petición HTTP se suele enviar el token JWT para acceder a rutas protegidas?