Estoy creando una aplicación web que usa Spring Boot para el backend y Angular para el frontend y planeo usar JWT firmados con HMAC-SHA256 para autenticación / autorización.
He estado pensando en cuál sería el mejor lugar para almacenar la clave secreta y se me ocurrió la idea de que simplemente generaría una clave aleatoria al iniciar el servidor (y no lo mantendría en ningún lugar) y úsalo para generar / verificar los tokens.
Creo que este enfoque sería bastante simple de implementar y más seguro que la clave persistente.
El único inconveniente que veo es que los tokens emitidos serían inválidos en los reinicios del servidor.
Realmente no he visto esto en ninguna parte, así que no estoy seguro de si es una idea estúpida o no.
Cualquier apreciación sería apreciada.