Passer au contenu principal
Vous pouvez effectuer manuellement une rotation périodique d’une clé de signature afin de changer la clé JSON Web (JWK) utilisée par les applications et les API pour valider les jetons. Si votre application ou votre API ne prend pas en charge ce changement de clé et qu’elle tente d’utiliser une clé de signature expirée pour vérifier un jeton, la demande d’authentification échouera.
Auth0 recommande d’effectuer d’abord la rotation de la clé de signature sur un locataire de développement, puis de vérifier que vos applications et vos API fonctionnent toujours comme prévu. Après avoir vérifié que tout fonctionne correctement, effectuez la même rotation de la clé de signature sur votre locataire de production.
Bien qu’Auth0 ne signe qu’avec une seule clé de signature à la fois, le document de découverte OpenID Connect (OIDC) de votre locataire contient toujours plusieurs clés. Le document de découverte OIDC inclut toujours la clé actuelle et la clé suivante, et il peut aussi inclure la clé précédente si celle-ci n’a pas encore été révoquée. Afin d’offrir une expérience fluide en cas d’urgence, votre application devrait être en mesure d’utiliser n’importe laquelle des clés indiquées dans le document. Pour en savoir plus sur les documents de découverte OpenID Connect, consultez Trouver les ensembles de clés JSON Web.
Pour vous laisser le temps de mettre à jour votre application avec la nouvelle clé de signature, tous les jetons signés avec la clé précédente resteront valides jusqu’à ce que vous révoquiez la clé précédente. Pour en savoir plus, consultez Révoquer des clés de signature.
Vous pouvez effectuer la rotation de la clé de signature d’application de votre locataire à l’aide de l’ ou de l’Auth0 .

Utiliser l’Auth0 Dashboard

  1. Accédez à Auth0 Dashboard > Settings > Signing Keys.
    Onglet Signing Keys dans Settings de l’Auth0 Dashboard
  2. Sous Rotation Settings, repérez Rotate Signing Key, puis sélectionnez Rotate Key.
  3. Cliquez sur Rotate pour confirmer.
    Confirmation de la rotation dans l’onglet Signing Keys de l’Auth0 Dashboard

Utiliser la Management API

  1. Pour obtenir la liste des clés de signature, effectuez un appel GET au point de terminaison Get all Application Signing Keys.
  2. Pour faire la rotation de la clé de signature, effectuez un appel POST au point de terminaison Rotate the Application Signing Key. Assurez-vous de remplacer la valeur d’espace réservé MGMT_API_ACCESS_TOKEN par votre jeton d’accès de la Management API.
ValeurDescription
MGMT_API_ACCESS_TOKENJeton d’accès pour la Management API avec les scopes create:signing_keys et update:signing_keys.

Impact de la rotation des clés

API et passerelles d’API acceptant des jetons d’accès

La plupart des intergiciels et des passerelles d’API s’appuient sur le point de terminaison de l’ensemble de clés JSON Web (JWKS) pour récupérer, à intervalles réguliers, les clés de signature actuelles et futures. Si votre intergiciel et/ou vos passerelles d’API ne prennent pas en charge ce point de terminaison et exigent que vous configuriez manuellement un fichier *.cer, vous devrez coordonner la rotation de la clé de signature dans Auth0 avec la reconfiguration de votre intergiciel et de vos passerelles.

Applications Web régulières

Lorsque vous faites tourner la clé de signature dans Auth0, vous devrez coordonner la reconfiguration de vos applications qui utilisent ou . Cela se produit généralement lorsque vous téléversez le nouveau certificat public ou reconfigurez l’application en entrant l’URL des métadonnées WS-Fed/SAML. Cela modifiera la clé JWKS, que les applications utilisent pour valider les jetons. Assurez-vous que votre implémentation ne tient pas pour acquis que les clés JWKS ne changent jamais.

En savoir plus