L'uso del termine firma nella RFC è analogo a una firma digitale nella crittografia asimmetrica. Nella crittografia asimmetrica se il mittente crittografa un messaggio con la propria chiave privata, chiunque abbia il messaggio può decrittografarlo con la chiave pubblica del mittente. Quindi l'obiettivo con il termine firma non è quello di mantenere un messaggio segreto, ma per verificare l'integrità / mittente del messaggio, questo non è stato alterato.
Nel caso di JWTs il sistema di invio è sia il creatore che il consumatore del messaggio (vedi diagramma sotto), e l'obiettivo è di assicurarsi che il token passato all'utente non sia stato manomesso (ad es. dati privilegi elevati) .
E come citato @Robert, i JWT possono / dovrebbero essere ancora crittografati con TLS.
Ecco una buona spiegazione delle JWT e delle firme da cui proviene l'immagine qui sotto. 5 semplici passaggi per comprendere i token Web JSON (JWT)