¿Cuál es la mejor práctica para almacenar la clave secreta utilizada para firmar tokens JWT?