Quando l'utente immette il nome utente e la password in un'app mobile (iOS, Android o Windows) chiama un servizio web di accesso di terze parti oAuth che risponde con token di accesso oAuth e token di aggiornamento. Ora l'app genera una JWT e firma con una chiave segreta memorizzata nell'app. Questo jwt viene utilizzato per l'autenticazione su un set di API interne In questo contesto, è sicuro fidarsi di questo modello AUTH? Poiché i JwT generici vengono generati sul lato server, l'integrità viene mantenuta. Quali sono le conseguenze della firma di un jwt nelle app per dispositivi mobili? La chiave segreta di firma archiviata nelle app sarà mai compromessa?