Какие данные внутри JWT видны клиенту?

Question

Все данные внутри JWT видны клиенту. JWT кодируется в Base64, а не шифруется. Любой, у кого есть токен, может посмотреть его содержимое. Поэтому в JWT нельзя класть секретные данные.

YeaHub · Accepted Answer

JWT часто ошибочно воспринимают как “безопасный контейнер”, хотя на самом деле он прозрачен для клиента.ОпределениеJWT (JSON Web Token) — это токен, состоящий из трёх частей (header, payload, signature), где payload доступен для чтения всем.Что именно видно клиентуHeaderТип токена.Алгоритм подписи.PayloadПользовательские данные (claims).Стандартные поля (sub, exp, iat).Структура токенаЧасти разделены точками.Пример payload:{
  "sub": "user_123",
  "role": "admin",
  "exp": 1700000000
}
Что НЕ защищает JWTКонфиденциальность данных.Сокрытие логики авторизации.Подпись гарантирует целостность, но не скрывает содержимое.Практическое правилоВ JWT кладут только:идентификаторы,роли,служебные флаги.Никогда не кладут:пароли,токены сторонних сервисов,персональные секреты.ВыводJWT можно читать с любой стороны, поэтому он подходит для передачи утверждений о пользователе, но не для хранения секретных данных.