12. Privacy Considerations (隐私考虑)

JWT可能包含关于个人的隐私敏感信息。当这种情况发生时，必须采取措施防止未经授权的一方披露此信息。一种方法是使用加密的JWT并对JWT进行认证加密。JWT的创建者应该注意不要在JWT中包含任何个人可识别信息 (PII) 或其他敏感信息，除非采取了适当的保护措施，使得这些信息不会泄露给未经授权的一方。

请注意，即使JWT被加密，JWT Claims Set中的声明名称仍然可见（它们只是base64url编码的）。因此，敏感的声明名称本身也不应泄露隐私敏感信息。

在许多应用场景中，JW

T的存储是临时的（例如，作为HTTP请求的一部分传输）。但是，在JWT持久化的场景中（例如，在cookie或数据库中），应考虑与长期存储敏感信息相关的隐私风险。