我正在实施一个REST服务,它根据this和this答案中的建议使用jwt进行RESTful身份验证。
在构建JWT时,我决定使用rsa公共私有对而不是hmac签名,因为能够保持我的签名密钥完全私密的明显好处,因为我不相信我需要分享的客户端验证密钥用。
我的问题是,由于普通的https服务器证书已经使用了rsa密钥,使用相同的密钥对签署JWT令牌是否可以接受?我可以看到的一个优点是,我不需要维护两个证书,并且已经很好地建立了与客户端共享公钥的机制。
PS 如果我使用新的特定密钥对对JWT进行签名,那么将公钥发送给客户端以用于验证令牌的最佳方式是什么?