В Payload JWT (JSON Web Token) передается набор утверждений (claims), которые содержат информацию о пользователе и дополнительные данные, необходимые для аутентификации и авторизации. Payload обычно включает:

Registered claims — стандартные поля, например, iss (issuer, издатель токена), sub (subject, субъект), aud (audience, получатель), exp (expiration, время истечения), iat (issued at, время выпуска).
Public claims — общедоступные поля, которые можно определить самостоятельно, например, username, role, email.
Private claims — пользовательские поля, определённые для конкретного приложения.

Payload не содержит секретной информации, так как он закодирован в base64, но не зашифрован. Поэтому важные данные лучше не помещать туда без дополнительного шифрования.

Пример Payload JWT:

{
  "sub": "1234567890",
  "name": "Иван Иванов",
  "admin": true,
  "iat": 1516239022
}

Что передается в Payload JWT токена?