Aller au contenu principal

Rotation des clés de signature (OSS)

remarque:

Si vous utilisez Logto Cloud, vous pouvez faire tourner les clés de signature dans l'interface utilisateur de la Console, veuillez vous référer à ce tutoriel.

Logto OSS prend en charge la rotation des clés de signature depuis la version v1.8.

Les clés de signature Logto OIDC, également connues sous le nom de « clés privées OIDC » et « clés de cookie OIDC », sont les clés de signature utilisées pour chiffrer les jetons JWT (jetons d’accès et jetons d’identifiant) et les cookies de navigateur dans les sessions de connexion Logto.

Faire tourner régulièrement vos clés de signature peut réduire les risques de compromission potentielle des clés. Logto vous recommande de faire tourner vos clés de signature au moins une fois par an.

Faire tourner les clés de signature privées OIDC

Utilisez la commande CLI ci-dessous pour générer une nouvelle clé de signature privée OIDC. La nouvelle clé sera automatiquement utilisée après le redémarrage.

Options disponibles :

--type    (Optionnel) L'algorithme de clé de signature pour vos jetons JWT.
Les valeurs sont "rsa" ou "ec". Par défaut, "ec".
logto db config rotate oidc.privateKeys --type rsa

Utilisez la commande CLI ci-dessous pour générer une nouvelle clé de cookie OIDC. La nouvelle clé sera automatiquement utilisée après le redémarrage.

logto db config rotate oidc.cookieKeys

Qu'en est-il des clés précédentes ?

Les commandes de rotation des clés Logto ne supprimeront pas vos clés de signature précédentes, et elles seront conservées dans la base de données à moins que vous ne les supprimiez manuellement.

De plus, soyez prudent lorsque vous supprimez vos clés précédentes, car cela peut entraîner des problèmes inattendus. Il est recommandé de conserver à la fois la nouvelle clé et l'ancienne clé pendant une période de temps (par exemple, 2 semaines), jusqu'à ce que vous soyez sûr que tous vos utilisateurs ont migré vers la nouvelle clé.

Dépannage

Utiliser Logto comme fournisseur OIDC dans Cloudflare Zero Trust

Si vous avez l'intention d'utiliser Logto comme fournisseur OIDC avec Cloudflare Zero Trust, veuillez noter qu'il ne prend pas en charge les fournisseurs OIDC utilisant des algorithmes ECDSA. Lors de la rotation des clés de signature privées OIDC, assurez-vous d'utiliser l'algorithme RSA en spécifiant --type rsa dans la commande de rotation :

logto db config rotate oidc.privateKeys --type rsa