سلام

در واقع JWT یک استاندارد برای تبادل اطلاعات است  و ذاتا ایمن نیست. JWT  این امکان رو داره بنا بر شرایط به روش‌های مختلفی استفاده بشه. اگر از JWT  استفاده بشه در صورتی که توکن sign بشه فقط می‌توان این اطمینان رو داشت که اطلاعات تغییر نکرده و معمولا در این شرایط اطلاعات حساسی در payload اون قرار نمیدن!

اگر اطلاعاتی که در payload هست حساس باشه با استفاده از JWE می‌توان این مقادیر رو ایمن تبادل کرد