OIDC动态客户端注册与JWKS轮换治理

OIDC动态客户端注册与JWKS轮换治理概览OIDC 支持客户端动态注册，授权服务器维护客户端元数据并下发凭据。通过 OIDC Discovery 暴露 `jwks_uri`，客户端或资源服务器按 `kid` 轮换校验密钥。在轮换期间同时发布新旧密钥，保证验证不中断。技术参数（已验证）注册：遵循 RFC 7591/7592；元数据包含 `redirect_uris`、`grant_types`、`token_endpoint_auth_method` 等。发现：`/.well-known/openid-configuration` 提供端点与 `jwks_uri`；令牌头部 `kid` 指示使用的密钥。轮换：在 JWKS 中保留旧密钥的过渡期；更新 `alg` 与密钥类型；在撤销前确保下游已获取新密钥。安全：限制注册权限；审计客户端的创建/更新；轮换配合发布与通知流程。兼容：跨语言验证库读取 JWKS；资源服务器缓存与过期策略合理设置。实战清单启用动态注册并配置审核；建立客户端元数据台账与最小权限策略。发布 JWKS 并实施轮换计划；在过渡期同时保留新旧密钥并观测验证错误。将 Discovery 与缓存策略纳入运维文档；定期演练密钥撤换。Importance: 保持令牌验证的安全与连续，降低密钥变更风险。