Rotacionar chaves de assinatura (OSS)
Se você estiver usando Logto Cloud, pode rotacionar chaves de assinatura na interface do Console, por favor, consulte este tutorial.
Logto OSS suporta a rotação de chaves de assinatura desde a versão v1.8.
As chaves de assinatura OIDC do Logto, conhecidas como "chaves privadas OIDC" e "chaves de cookie OIDC", são as chaves de assinatura usadas para criptografar tokens JWT (tokens de acesso e tokens de ID) e cookies de navegador em sessões de login do Logto.
Rotacionar suas chaves de assinatura regularmente pode reduzir os riscos de comprometimento potencial das chaves. Logto recomenda que você rotacione suas chaves de assinatura pelo menos uma vez por ano.
Rotacionar chaves de assinatura privadas OIDC
Use o comando CLI abaixo para gerar uma nova chave de assinatura privada OIDC. A nova chave será automaticamente utilizada após a reinicialização.
Opções disponíveis:
--type (Opcional) O algoritmo de chave de assinatura para seus tokens JWT.
Os valores são "rsa" ou "ec". O padrão é "ec".
- CLI
- local
- npx
logto db config rotate oidc.privateKeys --type rsa
npm run cli db config rotate oidc.privateKeys -- --type rsa
npx @logto/cli db config rotate oidc.privateKeys -- --type rsa
Rotacionar chaves de cookie OIDC
Use o comando CLI abaixo para gerar uma nova chave de cookie OIDC. A nova chave será automaticamente utilizada após a reinicialização.
- CLI
- local
- npx
logto db config rotate oidc.cookieKeys
npm run cli db config rotate oidc.cookieKeys
npx @logto/cli db config rotate oidc.cookieKeys
E quanto às chaves anteriores?
Os comandos de rotação de chave do Logto não deletarão suas chaves de assinatura anteriores, e elas serão mantidas no banco de dados a menos que você as delete manualmente.
Além disso, tenha cuidado ao deletar suas chaves anteriores, pois isso pode causar problemas inesperados. Recomenda-se manter tanto a nova chave quanto a chave anterior por um período de tempo (por exemplo, 2 semanas), até que você esteja confiante de que todos os seus usuários migraram para a nova chave.
Solução de problemas
Usando Logto como Provedor OIDC no Cloudflare Zero Trust
Se você pretende usar Logto como um provedor OIDC com Cloudflare Zero Trust, observe que ele não suporta provedores OIDC usando algoritmos ECDSA. Ao rotacionar chaves de assinatura privadas OIDC, certifique-se de usar o algoritmo RSA especificando --type rsa no comando de rotação:
- CLI
- local
- npx
logto db config rotate oidc.privateKeys --type rsa
npm run cli db config rotate oidc.privateKeys -- --type rsa
npx @logto/cli db config rotate oidc.privateKeys -- --type rsa