Попробуйте почитать про JWT
jwt.io
В JWT токене содержится информация о пользователе, в виде JSON объекта.
этот JSON закодирован Base64 и подписан вашим "секретом"
получая JWT токен от пользователя вы можете проверить подпись, и убедится не подменен ли объект в токене.