Данные внутри JWT подписаны и зашифрованы, это не значит, что они безопасны. JWT не обеспечивает гарантии для конфиденциальных данных.
данные шифруются с использованием закрытого ключа, который известен обеим сторонам, то есть отправителю и получателю, злоумышленник может заблокировать ключ и может изменить содержимое.
Насколько мне известно, JWT не обеспечивает безопасность.
Спасибо