OIDC发现与JWKS轮换治理

--- title: OIDC发现与JWKS轮换治理 keywords: - OIDC Discovery - JWKS - 密钥轮换 - /.well-known/openid-configuration - 缓存 description: 使用 OIDC Discovery 自动获取授权服务器元数据与 JWKS，规范缓存与轮换策略，保障令牌验证的稳定与安全。 categories: - 文章资讯 - 编程技术 --- # OIDC发现与JWKS轮换治理 ## 概览 - 通过 `/.well-known/openid-configuration` 自动发现端点与 JWKS URL；在密钥轮换与网络异常下保持验证可用。 ## 技术参数（已验证） - 发现文档：包含 `authorization_endpoint`、`token_endpoint`、`jwks_uri`、`issuer` 等；需校验 `issuer` 与配置一致。 - JWKS：缓存 `jwks.json` 并按 `kid` 选择密钥；遵循 `Cache-Control`；在未命中时刷新与退避。 - 轮换与撤销：支持密钥滚动；维护旧密钥短期并发验证；在撤销时清理缓存并告警。 - 安全与容错：限制允许算法；拒绝 `none`；设置时钟偏差容忍与过期窗口。 - 观测：记录获取失败与验证错误；在看板中可视化轮换事件。 ## 实战清单 - 在网关层统一使用 Discovery 与 JWKS 缓存；启用轮换与退避策略。 - 校验 `issuer` 与受众；在异常时降级与审计。 - 建立密钥台账与演练流程；保持回滚能力。