Rotation des clés de signature (OSS)
Si vous utilisez Logto Cloud, vous pouvez faire pivoter les clés de signature dans l’interface Console, veuillez vous référer à ce tutoriel.
Logto OSS prend en charge la rotation des clés de signature depuis la version v1.8.
Les clés de signature Logto OIDC, également appelées « clés privées OIDC » et « clés de cookie OIDC », sont les clés de signature utilisées pour chiffrer les JWTs (jetons d’accès (Access tokens) et jetons d’identifiant (ID tokens)) et les cookies de navigateur dans les sessions de connexion Logto.
Faire pivoter régulièrement vos clés de signature peut réduire les risques de compromission potentielle des clés. Logto vous recommande de faire pivoter vos clés de signature au moins une fois par an.
Faire pivoter les clés privées de signature OIDC
Utilisez la commande CLI ci-dessous pour générer une nouvelle clé privée de signature OIDC. La nouvelle clé sera automatiquement utilisée après redémarrage.
Options disponibles :
--type (Optionnel) L’algorithme de clé de signature pour vos JWTs.
Les valeurs sont "rsa" ou "ec". Par défaut : "ec".
- CLI
- local
- npx
logto db config rotate oidc.privateKeys --type rsa
npm run cli db config rotate oidc.privateKeys -- --type rsa
npx @logto/cli db config rotate oidc.privateKeys -- --type rsa
Faire pivoter les clés de cookie OIDC
Utilisez la commande CLI ci-dessous pour générer une nouvelle clé de cookie OIDC. La nouvelle clé sera automatiquement utilisée après redémarrage.
- CLI
- local
- npx
logto db config rotate oidc.cookieKeys
npm run cli db config rotate oidc.cookieKeys
npx @logto/cli db config rotate oidc.cookieKeys
Qu’en est-il des clés précédentes ?
Les commandes de rotation des clés Logto ne supprimeront pas vos anciennes clés de signature, elles seront conservées dans la base de données sauf si vous les supprimez manuellement.
De plus, soyez prudent lors de la suppression de vos anciennes clés, car cela peut entraîner des problèmes inattendus. Il est recommandé de conserver à la fois la nouvelle clé et l’ancienne clé pendant une certaine période (par exemple 2 semaines), jusqu’à ce que vous soyez sûr que tous vos utilisateurs ont migré vers la nouvelle clé.
Dépannage
Utiliser Logto comme fournisseur OIDC dans Cloudflare Zero Trust
Si vous souhaitez utiliser Logto comme fournisseur OIDC avec Cloudflare Zero Trust, veuillez noter que ce dernier ne prend pas en charge les fournisseurs OIDC utilisant les algorithmes ECDSA. Lors de la rotation des clés privées de signature OIDC, assurez-vous d’utiliser l’algorithme RSA en spécifiant --type rsa dans la commande de rotation :
- CLI
- local
- npx
logto db config rotate oidc.privateKeys --type rsa
npm run cli db config rotate oidc.privateKeys -- --type rsa
npx @logto/cli db config rotate oidc.privateKeys -- --type rsa