본문으로 건너뛰기

서명 키 교체하기 (OSS)

노트:

Logto Cloud를 사용 중이라면 Console UI에서 서명 키를 교체할 수 있습니다. 자세한 내용은 이 튜토리얼을 참고하세요.

Logto OSS는 v1.8부터 서명 키 교체를 지원합니다.

Logto OIDC 서명 키(“OIDC 개인 키” 및 “OIDC 쿠키 키”라고도 함)는 Logto 로그인 세션에서 JWT(액세스 토큰 (Access token) 및 ID 토큰 (ID token))과 브라우저 쿠키를 암호화하는 데 사용되는 서명 키입니다.

서명 키를 정기적으로 교체하면 잠재적인 키 유출 위험을 줄일 수 있습니다. Logto는 최소 1년에 한 번 서명 키를 교체할 것을 권장합니다.

OIDC 개인 서명 키 교체하기

아래 CLI 명령어를 사용하여 새로운 OIDC 개인 서명 키를 생성하세요. 새 키는 재부팅 후 자동으로 사용됩니다.

사용 가능한 옵션:

--type    (선택 사항) JWT에 사용할 서명 키 알고리즘입니다.
값은 "rsa" 또는 "ec"입니다. 기본값은 "ec"입니다.
logto db config rotate oidc.privateKeys --type rsa

아래 CLI 명령어를 사용하여 새로운 OIDC 쿠키 키를 생성하세요. 새 키는 재부팅 후 자동으로 사용됩니다.

logto db config rotate oidc.cookieKeys

이전 키는 어떻게 되나요?

Logto 키 교체 명령어는 이전 서명 키를 삭제하지 않으며, 수동으로 삭제하지 않는 한 데이터베이스에 보관됩니다.

또한 이전 키를 삭제할 때는 예기치 않은 문제가 발생할 수 있으니 주의하세요. 모든 사용자가 새 키로 마이그레이션되었는지 확신할 때까지(예: 2주간) 새 키와 이전 키를 함께 보관하는 것이 좋습니다.

문제 해결

Cloudflare Zero Trust에서 Logto를 OIDC 공급자로 사용하기

Cloudflare Zero Trust에서 Logto를 OIDC 공급자로 사용하려는 경우, ECDSA 알고리즘을 사용하는 OIDC 공급자는 지원되지 않음을 유의하세요. OIDC 개인 서명 키를 교체할 때는 반드시 --type rsa를 지정하여 RSA 알고리즘을 사용해야 합니다:

logto db config rotate oidc.privateKeys --type rsa