JWT токен содержит внутри своего тела digital signature или HMAC (я не помню точно что из них)
и это позволяет серверу очень быстро проверить валидность токена. Подпись закрепляет
все параметры токена в том числе дату валидности.
То-есть сценарий фальсификации, который ты придумал скорее всего не сработает. Атакующий
должен иметь ключи для шифровки "шмяком" или ключи для подписи.
