JWT 密钥管理与 JWKS 轮换（kid、缓存与撤销）

JWT 密钥管理与 JWKS 轮换（kid、缓存与撤销）概述通过 JWKS 端点发布公钥并标注 `kid`，实现签名密钥的安全轮换与撤销。合理缓存与过期控制可降低验证成本。关键实践与参数`kid` 标识：每个公钥唯一 `kid`；令牌头部携带对应 `kid`。缓存：客户端缓存 JWKS（如 5–15 分钟）；失败时回退并强制刷新。轮换：双活密钥阶段支持新旧同时验证；旧密钥撤销后立即失效。撤销：对泄露与异常快速撤销并广播；缩短暴露窗口。验证方法演练轮换与撤销；检查验证行为与失败影响范围。压测 JWKS 拉取与缓存命中；观察延迟与错误率。审计令牌验证日志与密钥使用。注意事项JWKS 端点权限与速率控制；避免滥用与 DoS。令牌有效期与刷新策略与轮换联动。私钥存储与访问控制必须合规与审计。