Un amigo me dijo:
Estamos protegiendo nuestro microservicio con un HMAC derivado de la clave privada en el archivo jks. [Donde el cliente y el servidor compartieron la misma clave privada]
Puedo entender la situación en la que tienes un HMAC de un secreto de corta duración, como uno derivado de Hashicorp Vault .
Pero si el HMAC tiene la misma vida útil que las claves privadas, ¿por qué no asegurar el microservice utilizando SSL basado en las claves privadas ya has instalado?
Mi pregunta es: ¿Hay valor para firmar llamadas de microservicio con un HMAC derivado de la misma clave privada?