Saltar al contenido principal

Rotar claves de firma (OSS)

nota:

Si estás utilizando Logto Cloud, puedes rotar las claves de firma en la interfaz de usuario de la Consola, por favor consulta este tutorial.

Logto OSS ha soportado la rotación de claves de firma desde la versión v1.8.

Las claves de firma de Logto OIDC, también conocidas como "claves privadas OIDC" y "claves de cookies OIDC", son las claves de firma utilizadas para cifrar tokens JWT (tokens de acceso y tokens de ID) y cookies del navegador en las sesiones de inicio de sesión de Logto.

Rotar tus claves de firma regularmente puede reducir los riesgos de un posible compromiso de las claves. Logto recomienda rotar tus claves de firma al menos una vez al año.

Rotar claves de firma privadas OIDC

Usa el siguiente comando CLI para generar una nueva clave de firma privada OIDC. La nueva clave se utilizará automáticamente después de reiniciar.

Opciones disponibles:

--type    (Opcional) El algoritmo de clave de firma para tus tokens JWT.
          Los valores son "rsa" o "ec". Por defecto es "ec".
logto db config rotate oidc.privateKeys --type rsa

Usa el siguiente comando CLI para generar una nueva clave de cookies OIDC. La nueva clave se utilizará automáticamente después de reiniciar.

logto db config rotate oidc.cookieKeys

¿Qué pasa con las claves anteriores?

Los comandos de rotación de claves de Logto no eliminarán tus claves de firma anteriores, y se mantendrán en la base de datos a menos que las elimines manualmente.

Además, ten cuidado al eliminar tus claves anteriores, ya que puede causar problemas inesperados. Se recomienda mantener tanto la nueva clave como la clave anterior durante un período de tiempo (por ejemplo, 2 semanas), hasta que estés seguro de que todos tus usuarios han migrado a la nueva clave.

Solución de problemas

Usar Logto como proveedor OIDC en Cloudflare Zero Trust

Si planeas usar Logto como un proveedor OIDC con Cloudflare Zero Trust, ten en cuenta que no admite proveedores OIDC que utilicen algoritmos ECDSA. Al rotar las claves de firma privadas OIDC, asegúrate de usar el algoritmo RSA especificando --type rsa en el comando de rotación:

logto db config rotate oidc.privateKeys --type rsa