JWT攻擊是為了饒過網站身份驗證，攻擊者會向網站發送修改後的JWT，目標是冒充另一個身份的使用者。如果攻擊者能夠使用任意值創建自己的JWT有效令牌，他們能夠升級自己的權限或冒充其他用戶，完全控制他們的帳戶。