JWT 密钥管理与 JWKS 轮换（kid、缓存与撤销）

概述

通过 JWKS 端点发布公钥并标注 kid，实现签名密钥的安全轮换与撤销。合理缓存与过期控制可降低验证成本。

关键实践与参数

• kid 标识：每个公钥唯一 kid；令牌头部携带对应 kid。
• 缓存：客户端缓存 JWKS（如 5–15 分钟）；失败时回退并强制刷新。
• 轮换：双活密钥阶段支持新旧同时验证；旧密钥撤销后立即失效。
• 撤销：对泄露与异常快速撤销并广播；缩短暴露窗口。

验证方法

• 演练轮换与撤销；检查验证行为与失败影响范围。
• 压测 JWKS 拉取与缓存命中；观察延迟与错误率。
• 审计令牌验证日志与密钥使用。

注意事项

• JWKS 端点权限与速率控制；避免滥用与 DoS。
• 令牌有效期与刷新策略与轮换联动。
• 私钥存储与访问控制必须合规与审计。