Jose4j - Можем ли мы использовать тот же RsaJsonWebKey для всех пользователей, чтобы построить jwt

Question

Можем ли мы использовать тот же RsaJsonWebKey для всех пользователей для создания jwt?

Какие проблемы мы можем столкнуться, если мы примем этот подход?

На мой взгляд, поскольку требования для каждого клиента различаются, окончательный jwt должен отличаться для каждого пользователя и не должен быть проблемой.

Answer 1

Обычное решение - использовать тот же ключ для всех выпущенных JWT. Можно было бы иметь ключ для каждого пользователя, но это не практично:

• требуют хранения ключей в ddbb, как государственных, так и частных
• публиковать или распространять открытые ключи
• каждый запрос требует доступа к базе данных загружать открытый ключ пользователя для подтверждения подписи

Это решение пропускает некоторые преимущества JWT. Я не могу найти сценарий, где это полезно

Примечание: если мы говорим об аутентификации в API, где токены выдаются клиентом, то каждый клиент будет иметь свой собственный закрытый ключ