Ваша забота о том, чтобы человек посередине каким-то образом получил копию JWT, является действительным, и, если это произойдет, MITM потенциально может выдать себя за действительного пользователя, используя его JWT в качестве идентификации.
Однако эта проблема может легко возникнуть, если данные, передаваемые между сервером и клиентом, были полностью незашифрованы.Скорее всего, ваше приложение будет использовать некоторую форму SSL (например, HTTPS) для связи между сервером и клиентом.В этом случае самое большее, что мог бы получить MITM, - это кучка тарабарщины, которая может содержать все / часть JWT.Но он не сможет легко отказаться от оригинального JWT.
Основное внимание JWT заключается в том, что они клиент защищают от подделки.Это означает, что пользователь не может войти в свой JWT и изменить свои утверждения или метаданные.Скорее, сервер блокирует некоторые утверждения в JWT, и только сервер может контролировать это.Даже MITM не сможет вмешаться в действительный JWT.