Что такое sharedSecret в JWT

Question

В Silhouette аутентификатор JWT может быть создан с использованием следующего класса

JWTAuthenticatorSettings(fieldName: String = "X-Auth-Token", requestParts: Option[Seq[api.util.RequestPart.Value]] = Some(Seq(RequestPart.Headers)), issuerClaim: String = "play-silhouette", authenticatorIdleTimeout: Option[FiniteDuration] = None, authenticatorExpiry: FiniteDuration = 12 hours, sharedSecret: String)

Какая польза от sharedSecret? Это то, что приложение будет использовать при подписи полезной нагрузки заголовка / утверждений JWT?

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  sharedSecret)

Answer 1

Глядя на формулу, похоже, что sharedSecret должно быть просто secret. Это важно, так как не должно передаваться клиентам . Обычно для всех клиентов используется только один (или несколько) параметров secret. Может быть, в этом смысле он является общим.