JWT与JWKS缓存治理：轮换与失败回退

JWT与JWKS缓存治理：轮换与失败回退概览验证 JWT 需从可信发行方获取公钥集合（JWKS）；在密钥轮换与网络异常下提供缓存与回退，维持验证可用性。声明校验与受众管理确保令牌仅用于授权范围内。技术参数（已验证）JWKS 获取：`/.well-known/jwks.json`；按 `kid` 选择密钥；遵循 `Cache-Control/Expires` 缓存策略。轮换与回退：在获取失败时使用本地缓存并退避重试；在 `kid` 未命中时触发刷新与熔断保护。声明校验：`iss`/`aud`/`exp`/`nbf`/`iat`；拒绝过期与错误受众；与时钟偏差容忍协同。算法与安全：限制允许算法（如 `RS256/ES256`）；拒绝 `none`；对头部与载荷进行一致性校验。多租治理：依据租户/环境配置发行方与受众白名单；分离缓存与统计。实战清单建立 JWKS 缓存与轮换监控；在网关层统一验证并记录失败原因。对关键接口启用强校验与速率限制；在异常时降级并保持审计。维护发行方配置与密钥台账；进行定期演练与回滚准备。