JWT-Key-Rotation

Das Embed-JWT ist mit einem Key aus einem In-Memory-Store signiert. Jeder Key hat eine kid — angegeben im JWT-Header.

Rotation

/app/security → JWT signing keys → Neuen Key generieren.

• Der neue Key wird active
• Alte Keys werden passive — sie validieren existierende JWTs bis zu deren exp, signieren aber keine neuen
• Wenn alle mit einem alten Key signierten JWTs abgelaufen sind, wird er automatisch gelöscht

Erzwungene Invalidierung

KeyRevocator kann eine kid als revoked markieren VOR ihrer natürlichen TTL — etwa bei Verdacht auf eine Key-Kompromittierung. Alle existierenden JWTs mit dieser kid werden sofort abgelehnt.