next-authのjwt周り

https://next-auth.js.org/configuration/options#jwt

src/lib/jwt.js
https://github.com/nextauthjs/next-auth/blob/canary/src/lib/jwt.js

http://blog.bruwbird.com/hkdf-2/
HKDF

secretどこから来てるの？

使ってるJWT関連ライブラリ
https://www.npmjs.com/package/jose

https://next-auth.js.org/configuration/options#secret

The default behaviour is volatile, and it is strongly recommended you explicitly specify a value to avoid invalidating end user sessions when configuration changes are deployed.

options.secretに明示指定してdecodeすると解消する。
jwt.secretの値だけセットしても利用されない？

https://github.com/nextauthjs/next-auth/blob/562bcf216c9c83263027cffad5511cdd36f41f48/src/lib/jwt.js#L119-L122
Bearer tokenも対応してる

https://github.com/nextauthjs/next-auth/discussions/501
サーバー間認証

https://next-auth.js.org/warnings#server

kty=oct / ec
https://techinfoofmicrosofttech.osscons.jp/index.php?JWK#za196dbc
暗号アルゴリズムファミリ

https://github.com/nextauthjs/next-auth/issues/435

https://qiita.com/TakahikoKawasaki/items/970548727761f9e02bcd#411-対称鍵系署名アルゴリズム

HS256、HS384、HS512 は対称鍵系アルゴリズムなので、認可サーバー（JWT 型アクセストークンを生成する側）とリソースサーバー（JWT 型アクセストークンを解釈する側）が同じ鍵を共有する必要があります。

next-authのjwtは対称キーなので外部疎通には向かないと見て良い