Professor, visto que a validação da autorização só é feita com relação ao issuer e o subject, isso não tornaria nossa aplicação com falha de segurança? Já que bastaria algum hacker fazer login na nossa aplicação, copiar o token disponível no frontend, decodificar no site do jwt.io e então alterar o email para o de qualquer outra pessoal o qual ele quisesse se passar.
O JWT é composto por três partes, o cabeçalho (header), os dados (payload), e a assinatura (signature). Apesar de estarem codificados, o cabeçalho e os dados não são criptografados, por isso qualquer um consegue descobrir as informações que eles carregam, já a assinatura é gerada com uma chave secreta que criptografa o cabeçalho e os dados, assim ela garante a integridade do token.
Um hacker teria que saber qual é a chave secreta para conseguir alterar os dados e gerar um token válido, se você observar a decodificação do jwt.io não te mostra qual é a chave secreta do token, você tem que inserir manualmente para conseguir validar.