---

title: OIDC发现与JWKS轮换治理

keywords:

• OIDC Discovery
• JWKS
• 密钥轮换
• /.well-known/openid-configuration
• 缓存

description: 使用 OIDC Discovery 自动获取授权服务器元数据与 JWKS，规范缓存与轮换策略，保障令牌验证的稳定与安全。

categories:

• 文章资讯
• 编程技术

---

OIDC发现与JWKS轮换治理

概览

• 通过 /.well-known/openid-configuration 自动发现端点与 JWKS URL；在密钥轮换与网络异常下保持验证可用。

技术参数（已验证）

• 发现文档：包含 authorization_endpoint、token_endpoint、jwks_uri、issuer 等；需校验 issuer 与配置一致。
• JWKS：缓存 jwks.json 并按 kid 选择密钥；遵循 Cache-Control；在未命中时刷新与退避。
• 轮换与撤销：支持密钥滚动；维护旧密钥短期并发验证；在撤销时清理缓存并告警。
• 安全与容错：限制允许算法；拒绝 none；设置时钟偏差容忍与过期窗口。
• 观测：记录获取失败与验证错误；在看板中可视化轮换事件。

实战清单

• 在网关层统一使用 Discovery 与 JWKS 缓存；启用轮换与退避策略。
• 校验 issuer 与受众；在异常时降级与审计。
• 建立密钥台账与演练流程；保持回滚能力。