JWT (JSON Web Token) - строка из трех частей в Base64, разделенных точками: Header.Payload.Signature. Header описывает алгоритм и тип токена, Payload - утверждения (claims), например exp, iss, sub. Signature - подпись первых двух частей, чтобы нельзя было подделать токен.

На сервере необходимо: 1) проверить подпись секретом или публичным ключом; 2) проверить exp (время жизни) и при необходимости iss, aud и другие claims.

Нельзя доверять данным из payload без проверки подписи. Алгоритм в header должен быть явно проверен (защита от "algorithm: none" и подмены алгоритма).