서명 키 회전 (OSS)
Logto Cloud를 사용 중인 경우, Console UI에서 서명 키를 회전할 수 있습니다. 이 튜토리얼을 참조하세요.
Logto OSS는 v1.8부터 서명 키 회전을 지원합니다.
Logto OIDC 서명 키는 "OIDC 개인 키" 및 "OIDC 쿠키 키"로 알려져 있으며, Logto 로그인 세션에서 JWT 토큰 (액세스 토큰 및 ID 토큰)과 브라우저 쿠키를 암호화하는 데 사용되는 서명 키입니다.
서명 키를 정기적으로 회전하면 잠재적인 키 손상 위험을 줄일 수 있습니다. Logto는 최소한 1년에 한 번 서명 키를 회전할 것을 권장합니다.
OIDC 개인 서명 키 회전
아래 CLI 명령을 사용하여 새로운 OIDC 개인 서명 키를 생성하세요. 새로운 키는 재부팅 후 자동으로 사용됩니다.
사용 가능한 옵션:
--type (선택 사항) JWT 토큰에 대한 서명 키 알고리즘입니다.
값은 "rsa" 또는 "ec"입니다. 기본값은 "ec"입니다.
- CLI
- local
- npx
logto db config rotate oidc.privateKeys --type rsa
npm run cli db config rotate oidc.privateKeys -- --type rsa
npx @logto/cli db config rotate oidc.privateKeys -- --type rsa
OIDC 쿠키 키 회전
아래 CLI 명령을 사용하여 새로운 OIDC 쿠키 키를 생성하세요. 새로운 키는 재부팅 후 자동으로 사용됩니다.
- CLI
- local
- npx
logto db config rotate oidc.cookieKeys
npm run cli db config rotate oidc.cookieKeys
npx @logto/cli db config rotate oidc.cookieKeys
이전 키는 어떻게 되나요?
Logto 키 회전 명령은 이전 서명 키를 삭제하지 않으며, 수동으로 삭제하지 않는 한 데이터베이스에 보관됩니다.
또한, 이전 키를 삭제할 때는 주의해야 하며, 예상치 못한 문제가 발생할 수 있습니다. 모든 사용자가 새로운 키로 마이그레이션되었는지 확신할 때까지 새로운 키와 이전 키를 일정 기간 (예: 2주) 동안 유지하는 것이 좋습니다.
문제 해결
Cloudflare Zero Trust에서 Logto를 OIDC 제공자로 사용하기
Cloudflare Zero Trust와 함께 Logto를 OIDC 제공자로 사용하려는 경우, ECDSA 알고리즘을 사용하는 OIDC 제공자를 지원하지 않는다는 점을 유의하세요. OIDC 개인 서명 키를 회전할 때, 회전 명령에서 --type rsa를 지정하여 RSA 알고리즘을 사용해야 합니다:
- CLI
- local
- npx
logto db config rotate oidc.privateKeys --type rsa
npm run cli db config rotate oidc.privateKeys -- --type rsa
npx @logto/cli db config rotate oidc.privateKeys -- --type rsa