первичные и вторичные сертификаты предназначены для проверки OAuth 2.0 JWT.И эти сертификаты должны проверяться в зависимости от времени или количества подписанных токенов.Как только новый сертификат используется в провайдере OAuth 2.0, все новые токены будут подписаны новым сертификатом, который указан в дочернем поле заголовка JWT.Однако есть старые токены, подписанные предыдущим сертификатом, которые все еще действительны и кэшируются на клиентах и могут быть отправлены в службу.Вот почему у нас есть два сертификата в течение переходного периода.Через 15 минут (настраивается в поставщике OAuth 2.0) все старые токены устарели, старый сертификат можно удалить из конфигурации, но оставить его там не помешает.Если вы используете light-oauth2 в качестве поставщика OAuth 2.0, вам не нужно хранить эти сертификаты в своей конфигурации, поскольку службы могут вызывать службу распространения ключей light-oauth2 для получения сертификата открытого ключа при первом получении токена.Более подробную информацию можно найти на https://www.networknt.com/concern/security/