Việc sử dụng chữ ký hạn trong RFC tương tự như chữ ký số trong mật mã bất đối xứng. Trong mật mã bất đối xứng nếu người gửi mã hóa tin nhắn bằng khóa riêng của họ, bất kỳ ai có tin nhắn đều có thể giải mã nó bằng khóa chung của người gửi. Vì vậy, mục tiêu với chữ ký hạn không phải là để giữ bí mật tin nhắn, mà là để xác minh tính toàn vẹn / người gửi thư, điều đó không bị thay đổi.
Trong trường hợp JWT, hệ thống gửi là cả người tạo và người tiêu dùng thư (xem sơ đồ bên dưới) và mục tiêu là đảm bảo mã thông báo được chuyển đến người dùng không bị giả mạo (ví dụ: được cấp đặc quyền nâng cao).
Và như @Robert đã đề cập, JWTs vẫn có thể / nên được mã hóa bằng TLS.
Dưới đây là một lời giải thích tốt về JWT và chữ ký mà từ đó hình ảnh dưới đây có nguồn gốc. 5 bước dễ dàng để hiểu mã thông báo web JSON (JWT)