سلام،

قسمت payload و header بصورت base64 انکد میشن و شما راحت میتونید دیکدش کنید این قسمت هارو.

موضوع jwt خوندن یا نخوندن payload نیست، مهم اینه آیا header و payload بهمراه signature (امضا) معتبر هستند یا خیر.

یکسری اطلاعات زیرش امضا خورده، براساس این امضا قراره بررسی کنیم این امضا معتبره یا نه، که اگر امضا معتبر بوده، اطلاعات معتبر خواهند بود.

شما طبق ویدیو اگر توکن رو وارد سایت jwt.io کنید میبینید خطای Invalid Signature میده. کلید درست رو اگر در قسمت your-256-bit-secret وارد کنید، Signature Verified میده. از لحاظ authorization موضوع verified اهمیت داره.

چکیده مطلب این است که، برای سرور چیزی که اهمیت دارد این است که اطلاعاتی که دریافت میکند، امضای معتبری دارد یا نه(توسط خودش امضا شده یا نه) و موضوع encryption اطلاعات نیست. اگر قسمتی از اطلاعات باید محرمانه بماند باید encrypt شود و در payload قرار بگیرد. برای مثال در جایی که username و password قرار میگیرد، مقدار Hash پسورد در payload قرار میگیرد.