JWT thực sự sử dụng JWS cho chữ ký của nó, từ thông số kỹ thuật:
Mã thông báo web JSON [JWT] là một phương tiện nhỏ gọn, an toàn cho URL để thể hiện các khiếu nại được chuyển giao giữa hai bên. Các khiếu nại trong JWT được mã hóa dưới dạng đối tượng Ký hiệu đối tượng JavaScript [JSON] được sử dụng làm trọng tải của cấu trúc Chữ ký web JSON [JWS] hoặc là bản rõ của cấu trúc Mã hóa web JSON [JWE], cho phép các khiếu nại được ký kỹ thuật số hoặc MACed và/hoặc mã hóa.
Vì vậy, JWT là cấu trúc JWS với đối tượng JSON là tải trọng. Một số khóa tùy chọn [hoặc khiếu nại] đã được xác định, chẳng hạn như iss, aud, exp, v.v.
Điều này cũng có nghĩa là bảo vệ tính toàn vẹn của nó không chỉ giới hạn ở các bí mật được chia sẻ mà mật mã khóa công khai/riêng tư cũng có thể được sử dụng.