在JWT声明中共享公钥

Question

我试图了解如何在我的方法中正确使用JWT令牌：

1. 客户端（C）生成密钥对。他使用必要的数据创建了JWT令牌。他将公钥放入JWT令牌（在有效负载中的某个位置），并用他的私钥对JWT令牌签名。
2. 服务器（S）检查传入的令牌并使用提供的公钥对其进行验证。如果一切正常（服务器检查了声明），它将生成另一个JWT令牌，并使用其私钥进行签名
3. C可以使用2中获得的令牌与S进行通信。

这种方法安全吗？以1发送公钥是否安全？另一种选择是将它们的公钥存储在服务器上的某个位置，然后服务器将验证令牌是否由发行者或JWT令牌本身中的另一个属性来获取公钥。

之所以设置1，是因为它将在移动设备上完成。

任何提示，建议都将不胜感激，我是OAuth和JWT的新手。

亲切的问候， 马辛