Rotación de claves JWT

El JWT embed está firmado con una clave de un in-memory store. Cada clave tiene un kid — indicado en el JWT header.

Rotación

/app/security → JWT signing keys → Generar una clave nueva.

La nueva clave pasa a active
Las claves antiguas pasan a passive — validan los JWT existentes hasta su exp pero no firman nuevos
Cuando todos los JWT firmados con una clave antigua han caducado, se elimina automáticamente

Invalidación forzada

KeyRevocator puede marcar un kid como revoked ANTES de su TTL natural — por ejemplo, ante sospecha de compromiso de una clave. Todos los JWT existentes con ese kid se rechazan de inmediato.

← ← Anterior

Audit log