Saltar al contenido principal
Puede rotar manualmente una clave de firma de forma periódica para cambiar la clave web JSON (JWK) que utilizan las aplicaciones y las API para validar tokens. Si su aplicación o API no admite este cambio de clave e intenta usar una clave de firma caducada para verificar un token, la solicitud de autenticación fallará.
Auth0 recomienda ejecutar primero la rotación de la clave de firma en un inquilino de desarrollo y luego verificar que sus aplicaciones y API sigan funcionando como se espera. Después de comprobar que todo funciona correctamente, realice la misma rotación de la clave de firma en su inquilino de producción.
Aunque Auth0 firma con una sola clave de firma a la vez, el documento de descubrimiento de Connect (OIDC) de su inquilino siempre contiene varias claves. El documento de descubrimiento de OIDC siempre incluirá tanto la clave actual como la siguiente, y también puede incluir la clave anterior si aún no se ha revocado. Para ofrecer una experiencia fluida en caso de emergencia, su aplicación debe poder usar cualquiera de las claves especificadas en el documento. Para obtener más información sobre los documentos de descubrimiento de OpenID Connect, consulte Localizar conjuntos de claves web JSON.
Para darle tiempo a actualizar su aplicación con la nueva clave de firma, todos los tokens firmados con la clave anterior seguirán siendo válidos hasta que revoque la clave anterior. Para obtener más información, consulte Revocar claves de firma.
Puede rotar la clave de firma de la aplicación de su inquilino mediante el o la de Auth0.

Utilice el Dashboard

  1. Vaya a Dashboard > Settings > Signing Keys.
    Pestaña Signing Keys de Tenant Settings en el Dashboard
  2. En Rotation Settings, busque Rotate Signing Key y seleccione Rotate Key.
  3. Haga clic en Rotate para confirmar.
    Confirmación de rotación en la pestaña Signing Keys de Settings del Dashboard

Usa la Management API

  1. Para obtener la lista de claves de firma, haz una llamada GET al endpoint Get all Application Signing Keys.
  2. Para rotar la clave de firma, haz una llamada POST al endpoint Rotate the Application Signing Key. Asegúrate de reemplazar el valor del marcador de posición MGMT_API_ACCESS_TOKEN por tu token de acceso de la Management API.
ValorDescripción
MGMT_API_ACCESS_TOKENToken de acceso para la Management API con los alcances create:signing_keys y update:signing_keys.

Impacto de la rotación de claves

API y gateways de API que aceptan tokens de acceso

La mayoría del middleware y los gateways de API utilizan el endpoint del conjunto de claves web JSON (JWKS) para obtener las claves de firma actuales y futuras a intervalos determinados. Si su middleware y/o sus gateways de API no admiten este endpoint y requieren que configure manualmente un archivo *.cer, deberá coordinar la rotación de la clave de firma en Auth0 con la reconfiguración de su middleware y sus gateways.

Aplicaciones web regulares

Al rotar la clave de firma en Auth0, deberá coordinar la reconfiguración de las aplicaciones que utilizan o . Esto suele ocurrir cuando carga el nuevo certificado público o reconfigura la aplicación introduciendo la URL de metadatos de WS-Fed/SAML. Esto cambiará la clave de JWKS, que las aplicaciones utilizan para validar tokens; asegúrese de que su implementación no dé por sentado que las claves de JWKS no cambian.

Más información