Van benne egy public cert, amivel ellenőrzi a Tokent. (Ezért megy net nélkül is)
A jwt.io-n letesztelve (bemásolva a QR kódos tokent és a public certet az appból kiírja , hogy signature verified :))
De ez így jó is (2041. februárjáig :)) szerintem, akkor lett volna mókás ha a privát kulcsát is hozzácsapják.
Szerk: Azaz az app által generált megy net nélkül (ezt a fenti módon ellenőrzi), fizikai kártyán lévő nem megy net nélkül (gondolom mert nem akarták a shared secretet az appba rakni :))