Я реализую службу REST с аутентификацией RESTful с использованием jwt на основе предложений из этого и это ответы.
При создании JWT я решил подписать его с помощью общедоступной частной пары rsa, а не hmac, из-за очевидной выгоды, заключающейся в том, что мой ключ подписи будет полностью закрытым, потому что я не доверяю клиентам, которым мне нужно будет поделиться ключом проверки. с.
Мой вопрос заключается в том, что, поскольку обычные сертификаты https-сервера уже используют ключи rsa, будет ли приемлемо использовать ту же пару ключей для подписи токена JWT? Одно преимущество, которое я вижу, заключается в том, что мне не нужно будет поддерживать два сертификата, а механизмы для совместного использования открытого ключа с клиентом уже хорошо отработаны.
PS Если я подпишу JWT с новой определенной парой ключей, как лучше всего отправить открытый ключ клиенту для использования при проверке токена?