Suomi
  • jälkiselvitys

Jälkiselvitys: todennuksen epäonnistumiset JWKS-välimuistin ja allekirjoitusavaimen kierron vuoksi

Jälkiselvitys todennusvälikohtauksesta 8. tammikuuta 2026 (PST).

Gao
Gao
Founder

Lopeta viikkojen tuhlaaminen käyttäjien tunnistautumiseen
Julkaise turvallisia sovelluksia nopeammin Logtolla. Integroi käyttäjien tunnistautuminen minuuteissa ja keskity ydintuotteeseesi.
Aloita
Product screenshot

Päivämäärä: 8. tammikuuta 2026 (PST)

Kesto: noin 60 minuuttia

Vaikutus: jotkut tuotantovuokraajat kokivat sisäänkirjautumis- ja tunnisteen validointivirheitä; Konsolin sisäänkirjautuminen saattoi häiriintyä

Yhteenveto

Epäyhtenäisyys kierrätetyn allekirjoitusavaimen ja välimuistissa olevan JWKS:n välillä *.logto.io-verkkotunnuksellamme aiheutti tunnisteiden validointivirheitä. Tyhjensimme JWKS-välimuistin ja palautimme edellisen allekirjoitusavaimen palauttaaksemme palvelun.

Jotkut käyttäjät saattavat edelleen kohdata Konsolin sisäänkirjautumisongelmia selaimen välimuistin vuoksi. Pahoittelemme tästä aiheutunutta häiriötä.

Aikajana (PST)

  • 16:00 välikohtaus alkoi (auth/token validointivirheet lisääntyivät)
  • 16:35 perussyy tunnistettiin (JWKS välimuistissa kun allekirjoitusavain kierrätettiin)
  • 16:41 välimuisti tyhjennettiin
  • 16:49 allekirjoitusavain palautettiin
  • 17:00 palvelu palautui; jatkettu valvontaa

Välikohtauksen yksityiskohdat

Vaikutus

Välikohtauksen aikana jotkut käyttäjät eivät voineet kirjautua sisään ja osa tunnisteiden validoinneista epäonnistui. Tämä vaikutti useisiin tuotantovuokraajiin ja saattoi myös estää pääsyn Logto-konsoliin.

Emme ole havainneet luvattomia pääsyjä liittyen tähän välikohtaukseen; vaikutus rajoittui todennusvirheisiin.

Asiakkaan toimenpiteet

Jos et edelleenkään pääse kirjautumaan Logto-konsoliin, kokeile seuraavia toimenpiteitä:

  • avaa incognito/yksityinen selainikkuna, tai
  • tyhjennä/poista selaimesi välimuisti ja yritä uudelleen

Mitä tapahtui

  1. Päivitimme JWKS-välimuistiasetukset asiakasvuokraajien verkkotunnuksille (*.logto.app). JWKS-välimuisti oli vahingossa yhä käytössä Pilvipalvelumme verkkotunnuksella (*.logto.io).
  2. Kierrätimme Pilvipalvelumme allekirjoitusavaimen. Koska JWKS-vastaukset *.logto.io:lle olivat välimuistissa, jotkut asiakkaat jatkoivat vanhentuneen JWKS:n käyttöä eivätkä voineet validoida uusia tunnisteita.
  3. Tyhjensimme *.logto.io:n JWKS-välimuistin, palautimme aiemman allekirjoitusavaimen ja tyhjensimme välimuistin uudelleen varmistaaksemme, että asiakkaat saivat palautetun avainjoukon.
  4. Todennus palautui. Jotkut käyttäjät saattavat silti kokea Konsolin sisäänkirjautumisongelmia selaimen välimuistin vuoksi.

Opittua

Avaimen kierto ei ole pelkkä avainhallintatehtävä. Se on päästä päähän -yhteensopivuusmuutos, joka vaatii huomioimaan välimuistin käyttäytymisen myöntäjien ja validoijien välillä. Konfiguraatiopoikkeama verkkotunnusten välillä (*.logto.app vs *.logto.io) on todellinen riski. Toiselle verkkotunnukselle turvalliset muutokset voivat rikkoa toisen, jos niitä ei toteuteta johdonmukaisesti.

Nykyiset integraatiotestimme eivät kattaneet tuotantomaista JWKS-välimuistikäyttäytymistä, joten tätä virhetilannetta ei oltu testattu ennen kiertoa.

Ennaltaehkäisevät toimet

Toteutamme seuraavat muutokset:

  • JWKS-välimuistin mitätöinti pakollisena vaiheena allekirjoitusavaimen kiertoprosessissa (kierrä vain, kun mitätöinti on valmis)
  • pidetään JWKS-välimuisti pois päältä, kunnes mitätöintiprosessi on käytössä, sitten otetaan välimuisti uudelleen käyttöön suorituskyvyn parantamiseksi
  • tuotantomaiset avaimen kierron integraatiotestit, mukaan lukien JWKS-välimuistikäyttäytyminen ja välimuistin mitätöinnin tarkistukset