Каков рекомендуемый способ проверки того, что JWT был выпущен конкретным экземпляром Менеджера API в случае, когда внутренняя веб-служба находится на отдельном сервере и должна быть уверена, что данный запрос прошел через механизмы аутентификации и авторизации шлюза APIM?
Я знаю, что поля заголовка в JWT включают поле x5t, которое является закодированной ссылкой на сертификат в хранилище ключей клиента, как подробно описано здесь:
https://asankastechtalks.wordpress.com/2013/12/05/obtain-certificate-used-to-sign-a-jwt/
Поскольку внутренняя веб-служба находится на отдельном сервере, нужно ли нам каким-то образом распространять на нее открытый ключ? Кроме того, как мы можем обновить сертификат, который используется для подписи JWT, поскольку сейчас он использует значение по умолчанию?