Knockのデフォルトは secret_key_base を使ったHMAC using SHA-256らしい。 つまり、公開鍵暗号じゃないので、クライアントサイドで自由に中身を見れるというJWTの利点を半分失ってる（安全性については問題ないと思うけど…） （追記）…と適当な事を書いてた…