Describe cómo funcionan las claves de firma de la aplicación de tu inquilino.
Cuando seleccionas nuestro (RS256) recomendado, Auth0 utiliza criptografía de clave pública para establecer confianza con tus aplicaciones. En términos más generales, usamos una clave de firma que consta de un par de claves pública y privada.Las claves de firma se utilizan para firmar , , aserciones y aserciones enviadas a tu aplicación o API. La clave de firma es una clave web JSON (JWK) que contiene una clave pública conocida que se utiliza para validar la firma de un (JWT) firmado. Un conjunto de claves web JSON (JWKS) es un conjunto de claves que contiene las claves públicas utilizadas para verificar cualquier JWT emitido por el y firmado con el algoritmo de firma RS256. Es posible que el servicio solo use un JWK para validar tokens web; sin embargo, el JWKS puede contener varias claves si el servicio ha rotado los certificados de firma.
Cuando un usuario inicia sesión en su aplicación, creamos un token que contiene información sobre el usuario y lo firmamos con su clave privada antes de enviarlo de vuelta a su aplicación. Auth0 protege la clave privada, que es única para cada inquilino.Para verificar que el token es válido y que proviene de Auth0, su aplicación valida la firma del token con la clave pública. También ofrecemos otras capacidades de administración de claves de seguridad de aplicaciones a través de nuestro Dashboard y de la .Auth0 recomienda rotar las claves con regularidad para asegurarse de estar preparado para actuar en caso de una brecha de seguridad.A continuación se enumeran certificados adicionales de firma de aplicaciones.
Estos enlaces se generan con su inquilino activo para proporcionarle información precisa. Debe iniciar sesión en auth0.com/docs con las credenciales de su inquilino para acceder a estos enlaces.Para iniciar sesión, seleccione Iniciar sesión en la parte superior derecha. Después de iniciar sesión, puede cambiar de inquilino seleccionando el icono de su perfil y eligiendo Cambiar inquilino.
También puede obtener esta información para aplicaciones individuales a través del . Para ello, vaya a la página Settings de una aplicación específica. Luego, expanda Advanced Settings y elija la pestaña Certificates.
Usamos la clave de firma de la aplicación para firmar aserciones que se envían a las aplicaciones. Estas aserciones pueden incluir ID Tokens, tokens de acceso, aserciones SAML y aserciones WS-Fed. Tenga en cuenta que estas claves son distintas de las que se usan para firmar interacciones con conexiones, incluida la firma de solicitudes SAML a Proveedores de identidad (IdP) y el cifrado de respuestas de los IdP.De forma predeterminada, las aserciones SAML para conexiones de IdP se firman, lo cual recomendamos. Para obtener claves públicas que puede usar para configurar el IdP, consulte Configuración del Proveedor de identidad SAML: aserciones firmadas.
El proceso de rotación y revocación se adapta a sus preferencias y facilita una transición fluida para su aplicación. Si prefiere actualizar primero su aplicación y luego rotar y revocar su clave, puede hacerlo. Como alternativa, si prefiere rotar su clave primero y luego actualizar su aplicación y revocar la clave anterior, también puede hacerlo.Las claves disponibles incluyen:
En uso actualmente: Clave que se usa actualmente para firmar todas las aserciones nuevas.
Usada anteriormente: Clave que se usó anteriormente, pero que ya se rotó. Las aserciones que se generaron con esta clave seguirán funcionando.
Siguiente en cola: Clave que está en cola y reemplazará a la clave actual la próxima vez que se rote la clave de firma de la aplicación.
Pruebe siempre la rotación de la clave de firma en un inquilino de desarrollo antes de rotar las claves de firma de aplicaciones en producción.
La rotación de tu clave de firma estará sujeta a un límite de velocidad más bajo que el de otros endpoints de la API. Para obtener más información, consulta Límites de velocidad de la Management API.
Autenticar
Administrar usuarios
Personalizar
Auth0 AI
Plataforma