kid 和 JWKS什么关系?
身份厂商一轮换公钥,线上就陆续有人说「刚还能用、现在突然不行」。老令牌头里带的kid,指向的可能是旧钥;不先对kid,就谈不上验签。把JWT头解出来,看清kid、算法,再谈去JWKS里找哪一把,这是运维、安全、项目owner一起对表的共同语言。你不负责管密钥,但你要能在变更窗口里问对问题:是轮换节奏、是缓存、还是某台机器元数据没更新。少一次误删还在用的公钥、少一次全员重登的慌乱,这比你事后写复盘省力得多。 这样你对外协作、对内复盘都有据可查,老板问起来也拿得出一段完整说明,不必再靠「我口头问过研发」。 这样你对外协作、对内复盘都有据可查,老板问起来也拿得出一段完整说明,不必再靠「我口头问过研发
如何对照JWKS
- 解码Header取kid与alg。
- 打开发行方JWKS,找同kid的n/e或x/y。
- 在受信环境验签与缓存策略。
JWKS 常见问题
找不到kid?
可能刚轮换,刷元数据或联系IdP。
x5c 链?
依规范验证书链。
多租户?
iss 与issuer元数据要一致。