ペイロードの中身にユーザー情報が含まれているので、どのようなユーザーのIDなどをトークンから取得できるようになっています。トークンからユーザー情報を引けるのは非常に便利ですが、トークンが確実に信用できるものでなければいけません。そこでヘッダーとペイロードの情報を使って、正規に署名されたものかどうか検証できるようになっています。 署名の検証は、JWT発行側が用意する公開鍵を使って行います。jwks_uri として公開することになっており、例えばGoogleからは以下のようなJSONが取得できます(JWK Setと言います)。 { "keys": [ { "kid": "57b1928f2f63329f2e92f4f278f94ee1038c923c", "e": "AQAB", "kty": "RSA", "alg": "RS256", "n": "1Zi0-4bNwZ7gGefz17U2N