JWT 密钥管理与 JWKS 轮换（kid、缓存与撤销）

# JWT 密钥管理与 JWKS 轮换（kid、缓存与撤销） ## 概述 通过 JWKS 端点发布公钥并标注 `kid`，实现签名密钥的安全轮换与撤销。合理缓存与过期控制可降低验证成本。 ## 关键实践与参数 - `kid` 标识：每个公钥唯一 `kid`；令牌头部携带对应 `kid`。 - 缓存：客户端缓存 JWKS（如 5–15 分钟）；失败时回退并强制刷新。 - 轮换：双活密钥阶段支持新旧同时验证；旧密钥撤销后立即失效。 - 撤销：对泄露与异常快速撤销并广播；缩短暴露窗口。 ## 验证方法 - 演练轮换与撤销；检查验证行为与失败影响范围。 - 压测 JWKS 拉取与缓存命中；观察延迟与错误率。 - 审计令牌验证日志与密钥使用。 ## 注意事项 - JWKS 端点权限与速率控制；避免滥用与 DoS。 - 令牌有效期与刷新策略与轮换联动。 - 私钥存储与访问控制必须合规与审计。