JWT (JSON Web Token) не зашифрован, а закодирован и подписан. Он состоит из трёх частей: заголовка (header), полезной нагрузки (payload) и подписи (signature). Заголовок и полезная нагрузка кодируются в Base64Url, что не обеспечивает конфиденциальность, а лишь преобразует данные в текстовый формат. Подпись создаётся с помощью секретного ключа или пары ключей, чтобы гарантировать целостность и подлинность токена.

Таким образом, JWT можно легко декодировать и прочитать содержимое, но нельзя подделать без ключа подписи. Если нужна конфиденциальность, JWT нужно дополнительно зашифровать (например, JWE).

JWT закодирован или зашифрован?