公開鍵と秘密鍵JWTのガバナンス

Question

私はJWTの使い方を正しく理解しようとしています。

一般的なJWTの使用例（JWTベースの認証やoauthのJWTアクセストークンなど）では、クライアントサイドのJWTトークンを検証するのは意味がありますか？特に、私はJWTの署名と暗号化に関わる公開鍵と秘密鍵の要件をよりよく理解するよう求めています。クライアントがJWT署名を検証する必要がない場合、サーバは公開鍵を利用可能にする必要はありません。これが本当であれば、私は完全な吹き飛ばされたX.509証明書を必要としません。裸の公開鍵/秘密鍵ペアまたは自己署名証明書で十分でしょうか？

このように、JWTで使用される非対称キーを扱う正しい方法は何ですか？公開鍵インフラストラクチャが必要なのか、それとも単純な秘密/公開鍵ペアで十分ですか？

私は、JWTの仕様ではこれをカバーしていないことを理解していますが、実際のJWTの使用方法に共通の習慣が何であるかは興味があります。

もちろん、この質問はhttpsに関連する証明書とは関係ありません。JWTの署名と暗号化で使用される鍵について話しています。

Answer 1

クライアントサイドのJWTトークンを確認するのは意味がありますか？

トークンペイロードデータを使用してクライアント側で操作を実行し、トークンを信頼する必要がある場合は意味があります。サーバーでトークンを使用して認証を行う場合は、サーバーが署名を検証するようにします。

これが真であれば、完全なX.509証明書は必要ありません。裸の公開鍵/秘密鍵ペアまたは自己署名証明書で十分でしょうか？

私は公開鍵インフラストラクチャが必要ですか、それとも単純なプライベート/公開キーペアですか？

信頼できる証明書、自己署名証明書、または単にRSA鍵ペアを使用できます。通常、自動生成された鍵ペアが使用されます。しかし、クライアント上の署名を検証する予定がない場合は、HMACの対称鍵（アシメティックではない