Un JWT suele ser un JWS firmado; para ocultar el contenido se usa un JWE cifrado. Esta es la diferencia.
JWS (firmado): solo firma la cabecera y la carga útil. El contenido es base64url y legible por cualquiera; solo se verifica la manipulación — es el JWT que ves normalmente.
JWE (cifrado): cifra la carga útil para ocultar el contenido. Ilegible sin la clave, se usa para datos sensibles, con una estructura de cinco partes (cuatro puntos).
La mayoría de los 'JWT' son JWS. Este decodificador decodifica JWS (JWE necesita una clave de descifrado).
En resumen: solo integridad → JWS; también confidencialidad → JWE (o JWS sobre TLS).
Prueba a decodificar un token tú mismoSolo pega y la cabecera, la carga útil y las reclamaciones se despliegan al instante.