Um JWT geralmente é um JWS assinado; para ocultar o conteúdo usa-se um JWE criptografado. Esta é a diferença.
JWS (assinado): apenas assina o cabeçalho e o payload. O conteúdo é base64url e legível por qualquer um; só a adulteração é verificada — é o JWT que você vê normalmente.
JWE (criptografado): criptografa o payload para ocultar o conteúdo. Ilegível sem a chave, usado para dados sensíveis, com estrutura de cinco partes (quatro pontos).
A maioria dos 'JWTs' são JWS. Este decodificador decodifica JWS (JWE precisa de uma chave de descriptografia).
Em resumo: só integridade → JWS; também confidencialidade → JWE (ou JWS sobre TLS).
Experimente decodificar um token você mesmoBasta colar e o cabeçalho, o payload e as claims se abrem na hora.