Как и где хранить секретный ключ?

Недавно наткнулся на статью где для JWT генерируют секретные ключи как для SSH (private.pem, public.pem). Для чего это делается? В чем проблема просто сгенерировать длинную строку и будет вам секретный ключ? Зачем именно такой подход использовать? Хочу увидеть полное разъяснение.

Какой ключ мы должны использовать в шифровании токена? Зачем их два если имея публичный ключ уже можно подменивать данные и приватный ключ не поможет. Может я что-то не так думаю :)