OIDC发现与JWKS轮换治理

OIDC发现与JWKS轮换治理概览通过 `/.well-known/openid-configuration` 自动发现端点与 JWKS URL；在密钥轮换与网络异常下保持验证可用。技术参数（已验证）发现文档：包含 `authorization_endpoint`、`token_endpoint`、`jwks_uri`、`issuer` 等；需校验 `issuer` 与配置一致。JWKS：缓存 `jwks.json` 并按 `kid` 选择密钥；遵循 `Cache-Control`；在未命中时刷新与退避。轮换与撤销：支持密钥滚动；维护旧密钥短期并发验证；在撤销时清理缓存并告警。安全与容错：限制允许算法；拒绝 `none`；设置时钟偏差容忍与过期窗口。观测：记录获取失败与验证错误；在看板中可视化轮换事件。实战清单在网关层统一使用 Discovery 与 JWKS 缓存；启用轮换与退避策略。校验 `issuer` 与受众；在异常时降级与审计。建立密钥台账与演练流程；保持回滚能力。