العربية
  • تحليل بعد الحادثة

تحليل بعد الحدث: فشل المصادقة بسبب تخزين JWKS المؤقت وتدوير مفتاح التوقيع

تحليل بعد الحدث لحادثة المصادقة في 8 يناير 2026 (بتوقيت المحيط الهادئ).

Gao
Gao
Founder

توقف عن إضاعة أسابيع في مصادقة المستخدم
أطلق تطبيقات آمنة بشكل أسرع مع Logto. قم بدمج مصادقة المستخدم في دقائق وركز على منتجك الأساسي.
ابدأ الآن
Product screenshot

التاريخ: 8 يناير 2026 (بتوقيت المحيط الهادئ)

المدة: حوالي 60 دقيقة

الأثر: بعض المستأجرين في بيئة الإنتاج واجهوا فشل في تسجيل الدخول والتحقق من صحة الرموز؛ قد يتأثر تسجيل الدخول إلى وحدة التحكم

الملخص

تسبب عدم تطابق بين مفتاح توقيع تم تدويره وJWKS مخزن مؤقتًا في نطاق *.logto.io الخاص بنا في فشل التحقق من صحة الرموز. قمنا بمسح ذاكرة التخزين المؤقت لـ JWKS وأعدنا مفتاح التوقيع السابق لاستعادة الخدمة.

قد يستمر بعض المستخدمين في مواجهة مشكلات في تسجيل الدخول إلى وحدة التحكم بسبب ذاكرة التخزين المؤقت في المتصفح. نعتذر عن هذا الانقطاع.

الجدول الزمني (بتوقيت المحيط الهادئ)

  • 04:00 مساءً بداية الحادثة (زيادة أخطاء التحقق من المصادقة/الرموز)
  • 04:35 مساءً تم تحديد السبب الرئيسي (JWKS مخزن مؤقتًا أثناء تدوير مفتاح التوقيع)
  • 04:41 مساءً تم مسح ذاكرة التخزين المؤقت
  • 04:49 مساءً تم إعادة مفتاح التوقيع
  • 05:00 مساءً تم استعادة الخدمة؛ استمر المراقبة

تفاصيل الحادثة

التأثير

خلال فترة الحادثة، لم يتمكن بعض المستخدمين من تسجيل الدخول وفشلت بعض عمليات التحقق من صحة الرموز. أثر هذا على عدة مستأجرين في الإنتاج وقد يمنع الوصول إلى وحدة تحكم Logto.

لم نشهد أي دليل على وصول غير مصرح به مرتبط بهذه الحادثة؛ أثرها اقتصر على فشل المصادقة فقط.

إجراء العملاء

إذا كنت لا تزال غير قادر على تسجيل الدخول إلى وحدة تحكم Logto، يرجى محاولة:

  • فتح نافذة تصفح متخفي/خاصة، أو
  • مسح/تعطيل ذاكرة التخزين المؤقت للمتصفح ثم المحاولة مرة أخرى

ماذا حدث

  1. قمنا بتحديث إعدادات تخزين JWKS المؤقت لنطاقات مستأجري العملاء (*.logto.app). كان التخزين المؤقت لـ JWKS لا يزال مفعلاً بالخطأ في نطاق الخدمة السحابية (*.logto.io).
  2. قمنا بتدوير مفتاح التوقيع لخدمتنا السحابية. وبسبب تخزين ردود JWKS في *.logto.io مؤقتاً، واصل بعض العملاء استخدام JWKS قديم ولم يتمكنوا من التحقق من صحة الرموز الجديدة.
  3. قمنا بمسح ذاكرة التخزين المؤقت لـ JWKS في *.logto.io، وأعدنا مفتاح التوقيع السابق، ثم مسحنا ذاكرة التخزين المؤقت مرة أخرى لضمان معرفة العملاء بمجموعة المفاتيح المعادة.
  4. عادت المصادقة للعمل. وما زال بعض المستخدمين قد يواجهون مشكلات في تسجيل الدخول إلى وحدة التحكم بسبب ذاكرة التخزين المؤقت للمتصفح.

الدروس المستفادة

تدوير المفاتيح ليس مجرد مهمة إدارة مفاتيح، بل هو تغيير متكامل يتوجب أن يأخذ بالحسبان سلوك التخزين المؤقت بين مصدر الرموز والمتحققين منها. اختلاف الإعدادات بين النطاقات (*.logto.app مقابل *.logto.io) يُعد خطراً حقيقياً. التغييرات الآمنة لنطاق واحد قد تؤدي إلى مشاكل في نطاق آخر إذا لم تُطبق بشكل موحد.

اختبارات التكامل الحالية لم تغط سلوك تخزين JWKS المؤقت كما يحدث في الإنتاج، ولهذا لم يتم اكتشاف هذا السيناريو قبل تدوير المفتاح.

إجراءات وقائية

نعمل على تنفيذ:

  • إبطال ذاكرة التخزين المؤقت لـ JWKS كخطوة إلزامية في عملية تدوير مفتاح التوقيع (التدوير فقط بعد إتمام الإبطال)
  • إبقاء تخزين JWKS المؤقت معطل حتى يصبح تدفق الإبطال جاهزاً، ثم إعادة تمكين التخزين المؤقت لرفع الأداء
  • اختبارات تكامل تحاكي بيئة الإنتاج لتدوير المفاتيح، تشمل سلوك تخزين JWKS المؤقت وفحوصات إبطال ذاكرة التخزين المؤقت