JWT является общедоступным токеном и может быть захвачен и прочитан пользователем.Что просто отлично.Важно то, что утверждения не могут быть изменены.
Если у вас есть конфиденциальные данные (которые не являются частью безопасности), то не помещайте их в токен, а используйте сеанс или читайте их изstore (например, база данных).
В случае IdentityServer вы можете использовать эталонные токены , альтернативу JWT.Тогда используется только ключ, а информация скрыта для пользователя.