Ho letto un certo numero di post sul blog e ho scoperto che è difficile mantenere segreta la chiave segreta e se si utilizza un algoritmo simmetrico per la creazione di JWT, il generatore ha il potere di creare e convalidare il JWT. Questo sembra un posto dove potrebbe essere usato in modo improprio.
Questo porta all'immagine basata su RSA (algoritmo asimmetrico per la creazione di JWT). Queste JWT sembrano essere una scelta migliore se vogliamo un'unica autorizzazione per la creazione di JWT.
Quando si dovrebbe usare JWT basato su HMAC?
Sarebbe bello se potessi dare uno scenario di esempio.