Penggunaan istilah tanda tangan dalam RFC adalah analog dengan tanda tangan digital dalam kriptografi asimetris. Dalam kriptografi asimetris jika pengirim mengenkripsi pesan dengan kunci pribadi mereka, siapa pun yang memiliki pesan dapat mendekripsi dengan kunci publik pengirim. Jadi tujuan dengan istilah tanda tangan bukan untuk menjaga rahasia pesan, tetapi untuk memverifikasi integritas / pengirim pesan, yang belum diubah.
Dalam kasus JWT sistem pengiriman adalah pencipta dan konsumen pesan (lihat diagram di bawah), dan tujuannya adalah untuk memastikan token yang diberikan kepada pengguna tidak dirusak (misalnya diberi hak tinggi yang diberikan).
Dan seperti yang disebutkan @Robert, JWT masih bisa / harus dienkripsi dengan TLS.
Berikut adalah penjelasan yang bagus tentang JWT dan tanda tangan dari mana gambar di bawah ini bersumber. 5 Langkah Mudah Memahami Token Web JSON (JWT)