Zum Hauptinhalt springen

Signierschlüssel rotieren (OSS)

hinweis:

Wenn du Logto Cloud verwendest, kannst du Signierschlüssel in der Console UI rotieren. Siehe bitte dieses Tutorial.

Logto OSS unterstützt das Rotieren von Signierschlüsseln seit v1.8.

Logto OIDC-Signierschlüssel, auch bekannt als „OIDC-Private Keys“ und „OIDC-Cookie-Keys“, sind die Signierschlüssel, die verwendet werden, um JWTs (Zugangstokens und ID-Tokens) und Browser-Cookies in Logto-Anmeldesitzungen zu verschlüsseln.

Das regelmäßige Rotieren deiner Signierschlüssel kann das Risiko eines möglichen Schlüsselkompromisses verringern. Logto empfiehlt, deine Signierschlüssel mindestens einmal pro Jahr zu rotieren.

OIDC Private Signierschlüssel rotieren

Verwende den folgenden CLI-Befehl, um einen neuen OIDC Private Signierschlüssel zu generieren. Der neue Schlüssel wird nach einem Neustart automatisch verwendet.

Verfügbare Optionen:

--type    (Optional) Der Signierschlüssel-Algorithmus für deine JWTs.
          Werte sind "rsa" oder "ec". Standard ist "ec".
logto db config rotate oidc.privateKeys --type rsa

Verwende den folgenden CLI-Befehl, um einen neuen OIDC Cookie Key zu generieren. Der neue Schlüssel wird nach einem Neustart automatisch verwendet.

logto db config rotate oidc.cookieKeys

Was passiert mit den vorherigen Schlüsseln?

Die Logto-Schlüsselrotationsbefehle löschen deine vorherigen Signierschlüssel nicht; sie bleiben in der Datenbank, solange du sie nicht manuell entfernst.

Sei außerdem vorsichtig beim Löschen deiner vorherigen Schlüssel, da dies unerwartete Probleme verursachen kann. Es wird empfohlen, sowohl den neuen als auch den vorherigen Schlüssel für einen gewissen Zeitraum (z. B. 2 Wochen) aufzubewahren, bis du sicher bist, dass alle deine Benutzer auf den neuen Schlüssel migriert wurden.

Fehlerbehebung

Logto als OIDC Provider in Cloudflare Zero Trust verwenden

Wenn du Logto als OIDC Provider mit Cloudflare Zero Trust verwenden möchtest, beachte bitte, dass Cloudflare keine OIDC Provider mit ECDSA-Algorithmen unterstützt. Beim Rotieren von OIDC Private Signierschlüsseln stelle sicher, dass du den RSA-Algorithmus verwendest, indem du --type rsa im Rotationsbefehl angibst:

logto db config rotate oidc.privateKeys --type rsa