我是在网络应用程序上使用JWT的新手。 我不确定JWT中应该存储哪些信息，但就我而言，我正在保存敏感的用户数据，如电子邮件和用户名。我希望在我的JWT上安全地获取此信息

使用pyjwt模块，我能够成功地创建我的令牌。下面是我如何使用它的一个例子

import jwt
from datetime import datetime, timedelta

data = {
    "user": {}, # Here I would fill with my user data.
    "exp": datetime.utcnow() + timedelta(hours=2)
}
jwt.encode(data,"my-super-secret-key", "HS256")

上面的代码返回一个令牌，我认为它是加密的

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyIjp7fSwiZXhwIjoxNjMwMzAxMjI4fQ.sF3NeOArV5Mkgz9oemNMA4-RPF-mXKCIkQrlMQPLMV4

使用https://jwt.io/JWT检查器，我发现我的令牌实际上是在不使用my-super-secret-key的情况下被“解密”的。这让我想知道PyJWT中密钥的用途是什么。我猜这只是为了在代币上签名

我如何才能真正保护我的JWT令牌？（我读过关于JWE的书，但还不太明白，希望能有一个简洁的解释）