Não vejo sentido em usar o token para transportar dados assim. O que eu costumo fazer nas minhas aplicações é usar o token para armazenar informações do próprio usuário, como id, nome e eventualmente outros dados não sensíveis, como permissões.

Reforçando, dados não sensíveis porque é possível decodificar um JWT.

Talvez alguém ache estranho enviar permissões no JWT, mas eu faço isso para evitar precisar verificá-las o tempo todo e porque ninguém pode codificar um JWT falso para manipular as permissões, já que ele é assinado e eu verifico a assinatura em toda requisição.

Não tenho grande experiência com JWT, então se cometi algum erro, por favor responda esse comentário me corrigindo 👍