我正在构建一个android应用程序，并计划使用json web令牌（jwt）进行身份验证。
一旦我的服务器用生成的令牌返回一个响应，在客户端解码令牌以读取用户信息（aka payload）是否有意义，或者我是否应该将令牌严格用作身份验证机制并再次请求获取用户信息？
谢谢

和大多数事情一样，这取决于。如果您控制授权服务器（即，您正在调用的是您的api），那么在客户端读取令牌的内容并没有什么问题。
如果您正在调用第三方api并针对您不控制的服务器进行身份验证，我不会依赖jwt令牌的内容。第三方可以决定更改令牌中的声明，甚至开始加密令牌。