我在多个页面上阅读到JWT应该解决以下问题:我需要一个集中的Auth服务来获取参考令牌等(例如http://alexander.holbreich.org/jwt/)。这是因为可以在服务器群集或微服务的每个单个节点上检查JSON Web令牌的签名。
但是,这引起了一个问题,所有这些实例都需要一个共享机密来验证签名。我为某种签名的对称加密使用了共享密钥,或者对签名使用了非对称加密。但是,如果我正确看到它,那么我再次需要一个中央Auth服务,该服务持有用于非对称加密的私钥,并且我的每个节点都必须在此单个服务上验证签名。我的设计思路是否存在缺陷,或者JWT的特殊成就是什么?