Sto costruendo un'applicazione web utilizzando Spring Boot per il backend e Angular per il frontend e pianificando l'utilizzo dei JWT firmati con HMAC-SHA256 per l'autenticazione / autorizzazione.
Ho pensato a quale sarebbe stato il posto migliore dove riporre la chiave segreta e mi è venuta l'idea che avrei semplicemente generato una chiave casuale all'avvio del server (e non l'avrei persa da nessuna parte) e usalo per generare / verificare i token.
Penso che questo approccio sarebbe abbastanza semplice da implementare e più sicuro del persistere della chiave.
L'unico svantaggio che vedo è che i token emessi diventano non validi sui riavvii del server.
Non l'ho mai visto da nessuna parte, quindi non sono sicuro che sia un'idea stupida o meno.
Qualsiasi intuizione sarebbe apprezzata.