Leí varias publicaciones de blog y descubrí que es difícil mantener la clave secreta en secreto y, si se utiliza un algoritmo simétrico para la creación de JWT, el generador tiene la capacidad de crear y validar el JWT. Este parece ser un lugar donde puede ser mal usado.
Esto trae consigo una imagen basada en RSA (algoritmo asimétrico para la creación de JWT). Estos JWT parecen ser una mejor opción si queremos una autoridad única para la creación de JWT.
¿Cuándo debería uno usar JWT basado en HMAC?
Sería muy bueno si pudieras dar un ejemplo de escenario.