認証にHMACでJWTを使用する場合の共有秘密

現在、Androidクライアントによって使用されるRESTのようなAPIでユーザー認証を実装しています。いくつかの調査の結果、JWT（JSON Web Token）がそのための良い方法だと思います。

私が計画した基本的な手順は次のとおりです。ユーザーはユーザー名/パスワードを使用してログインします（HTTPS経由）。サーバーはパスワードを検証してから、ある種のユーザーIDを含むJWTを生成し、RS256（RSAを使用して非対称なので、クライアントは対応する公開鍵しか持たない）で署名し、それをクライアントに送信します。 API呼び出しを行うために、クライアントはJWTをサーバーに送信します。次に、サーバーが行うことはすべて、その秘密鍵を使用してJWTを検証し、署名アルゴリズムがサーバーによって予期されたものであることを確認することです。検証が成功した場合、サーバーはトークン内のユーザーIDを信頼できます。 JWTのペイロードが変更された場合、正しい署名を生成するにはサーバーの秘密鍵が必要になるため、クライアントは別のユーザーのふりをすることはできません。

次に、代わりにHS256（HMACを使用して対称）を使用したいとします。これは、結果の署名が短いためと考えられます。私の常識としては、この場合、サーバーだけが（単一の）キーを知ることができます。

しかし、ここで混乱が生じます。JWTでHS256を使用することを読んで、私が見たいくつかのサイトは、キーが「共有シークレット」、つまりサーバーとクライアントの両方がそれを知っていることを示唆しているようです。ただし、その場合、クライアントはJWTのペイロードを変更し、共有キーを使用して有効な署名を作成するだけで済みます。ログインしたユーザーは、JWTでユーザーIDを変更するだけで他のユーザーになりすますことができるため、署名をまったく検証しないのと同じです。 HS256を使用しているときにクライアントにキーへのアクセスを許可しても意味がありませんか？ HS256キーが共有されていることを示唆するサイトを誤解していませんか？

私がそれについて考えることができる唯一の方法は、両方の当事者がキーを知ることができるようにすることで、ユーザーごとに別々のキーを使用することです。しかし、それでも、ユーザーID（「isAdmin」フラグなど）以外のJWTペイロードデータは自由に変更できます。