Zum Hauptinhalt springen

Signaturschlüssel rotieren (OSS)

hinweis

Wenn du Logto Cloud verwendest, kannst du Signaturschlüssel in der Console-UI rotieren. Bitte sieh dir dieses Tutorial an.

Logto OSS unterstützt das Rotieren von Signaturschlüsseln seit Version 1.8.

Logto OIDC Signaturschlüssel, auch bekannt als „OIDC private keys“ und „OIDC cookie keys“, sind die Signaturschlüssel, die verwendet werden, um JWT-Tokens (Zugangstokens und ID-Tokens) und Browser-Cookies in Logto-Anmeldesitzungen zu verschlüsseln.

Das regelmäßige Rotieren deiner Signaturschlüssel kann das Risiko eines möglichen Schlüsselkompromisses verringern. Logto empfiehlt, deine Signaturschlüssel mindestens einmal im Jahr zu rotieren.

OIDC private Signaturschlüssel rotieren

Verwende den folgenden CLI-Befehl, um einen neuen OIDC private Signaturschlüssel zu generieren. Der neue Schlüssel wird nach dem Neustart automatisch verwendet.

Verfügbare Optionen:

--type    (Optional) Der Signaturschlüssel-Algorithmus für deine JWT-Tokens.
          Werte sind "rsa" oder "ec". Standard ist "ec".
logto db config rotate oidc.privateKeys --type rsa

Verwende den folgenden CLI-Befehl, um einen neuen OIDC Cookie-Schlüssel zu generieren. Der neue Schlüssel wird nach dem Neustart automatisch verwendet.

logto db config rotate oidc.cookieKeys

Was ist mit den vorherigen Schlüsseln?

Die Logto-Schlüsselrotationsbefehle löschen deine vorherigen Signaturschlüssel nicht, und sie werden in der Datenbank aufbewahrt, es sei denn, du löschst sie manuell.

Sei auch vorsichtig beim Löschen deiner vorherigen Schlüssel, da dies unerwartete Probleme verursachen kann. Es wird empfohlen, sowohl den neuen Schlüssel als auch den vorherigen Schlüssel für einen bestimmten Zeitraum (z. B. 2 Wochen) aufzubewahren, bis du sicher bist, dass alle deine Benutzer auf den neuen Schlüssel migriert sind.

Fehlerbehebung

Logto als OIDC-Anbieter in Cloudflare Zero Trust verwenden

Wenn du Logto als OIDC-Anbieter mit Cloudflare Zero Trust verwenden möchtest, beachte bitte, dass es keine OIDC-Anbieter unterstützt, die ECDSA-Algorithmen verwenden. Beim Rotieren von OIDC private Signaturschlüsseln stelle sicher, dass du den RSA-Algorithmus verwendest, indem du --type rsa im Rotationsbefehl angibst:

logto db config rotate oidc.privateKeys --type rsa