go.modでコミュニティメンテナンスバージョンの github.com/golang-jwt/jwt に replace すれば良さそうです。

replace github.com/dgrijalva/jwt-go => github.com/golang-jwt/jwt v3.2.2+incompatible

github.com/dgrijalva/jwt-goは様々なパッケージで利用されており、自分のアプリケーションで直接利用しているわけではなくても依存に含まれることがあります。 どうしようかなーと思っていたのですが、コミュニティでメンテナンスされていることを知ったのでreplaceしました。

全方位に感謝。