Rotation des clés JWT

Le JWT embed est signé avec une clé d'un in-memory store. Chaque clé a un kid — indiqué dans le JWT header.

Rotation

/app/security → JWT signing keys → Générer une nouvelle clé.

La nouvelle clé devient active
Les anciennes clés deviennent passive — elles valident les JWT existants jusqu'à leur exp mais n'en signent plus de nouveaux
Quand tous les JWT signés avec une ancienne clé ont expiré, elle est supprimée automatiquement

Invalidation forcée

KeyRevocator peut marquer un kid comme revoked AVANT sa TTL naturelle — par exemple en cas de suspicion de compromission d'une clé. Tous les JWT existants avec ce kid sont rejetés immédiatement.

← ← Précédent

Audit log