Saltar al contenido principal

Rotar claves de firma (OSS)

nota:

Si estás utilizando Logto Cloud, puedes rotar las claves de firma en la interfaz de la Consola. Por favor, consulta este tutorial.

Logto OSS ha soportado la rotación de claves de firma desde la versión v1.8.

Las claves de firma OIDC de Logto, también conocidas como “claves privadas OIDC” y “claves de cookie OIDC”, son las claves de firma utilizadas para cifrar JWTs (tokens de acceso (Access tokens) y tokens de ID (ID tokens)) y cookies del navegador en las sesiones de inicio de sesión de Logto.

Rotar tus claves de firma regularmente puede reducir los riesgos de una posible filtración de claves. Logto recomienda rotar tus claves de firma al menos una vez al año.

Rotar claves privadas de firma OIDC

Utiliza el siguiente comando de CLI para generar una nueva clave privada de firma OIDC. La nueva clave se utilizará automáticamente después de reiniciar.

Opciones disponibles:

--type    (Opcional) El algoritmo de clave de firma para tus JWTs.
          Los valores son "rsa" o "ec". Por defecto es "ec".
logto db config rotate oidc.privateKeys --type rsa

Utiliza el siguiente comando de CLI para generar una nueva clave de cookie OIDC. La nueva clave se utilizará automáticamente después de reiniciar.

logto db config rotate oidc.cookieKeys

¿Qué pasa con las claves anteriores?

Los comandos de rotación de claves de Logto no eliminarán tus claves de firma anteriores, y se mantendrán en la base de datos a menos que las elimines manualmente.

Además, ten cuidado al eliminar tus claves anteriores, ya que puede causar problemas inesperados. Se recomienda mantener tanto la nueva clave como la anterior durante un período de tiempo (por ejemplo, 2 semanas), hasta que estés seguro de que todos tus usuarios han migrado a la nueva clave.

Resolución de problemas

Usar Logto como proveedor OIDC en Cloudflare Zero Trust

Si tienes la intención de usar Logto como proveedor OIDC con Cloudflare Zero Trust, ten en cuenta que no admite proveedores OIDC que utilicen algoritmos ECDSA. Al rotar las claves privadas de firma OIDC, asegúrate de usar el algoritmo RSA especificando --type rsa en el comando de rotación:

logto db config rotate oidc.privateKeys --type rsa