Türkçe
  • sonrası analizi

Sonrası Analizi: JWKS önbellekleme ve imzalama anahtarı döndürme nedeniyle kimlik doğrulama hataları

8 Ocak 2026 (PST) kimlik doğrulama olayı için sonrası analizi.

Gao
Gao
Founder

Kullanıcı kimlik doğrulamasına haftalar harcamayı bırakın
Logto ile güvenli uygulamaları daha hızlı yayınlayın. Kullanıcı kimlik doğrulamasını dakikalar içinde entegre edin ve temel ürününüze odaklanın.
Başlayın
Product screenshot

Tarih: 8 Ocak 2026 (PST)

Süre: ~60 dakika

Etkisi: bazı üretim kiracıları oturum açma ve token doğrulama hataları yaşadı; Konsol oturum açma da etkilenebilirdi

Özet

Dönen bir imzalama anahtarı ile *.logto.io alan adımızdaki önbelleğe alınmış JWKS arasındaki uyuşmazlık, token doğrulama hatalarına yol açtı. JWKS önbelleğini temizleyip hizmeti geri yüklemek için önceki imzalama anahtarına döndük.

Bazı kullanıcılar tarayıcı önbelleği nedeniyle hala Konsol oturum açma sorunları görebilir. Yaşanan kesinti için özür dileriz.

Zaman Çizelgesi (PST)

  • 16:00 olay başladı (kimlik doğrulama/token doğrulama hatalarında artış)
  • 16:35 temel neden belirlendi (imzalama anahtarı döndürülürken JWKS önbelleğe alındı)
  • 16:41 önbellek temizlendi
  • 16:49 imzalama anahtarı geri alındı
  • 17:00 hizmet toparlandı; izleme devam ediyor

Olay ayrıntıları

Etki

Olay penceresi boyunca bazı kullanıcılar oturum açamadı ve bazı token doğrulama işlemleri başarısız oldu. Bu durum, birden fazla üretim kiracısını etkiledi ve Logto Konsoluna erişimi de engelleyebilirdi.

Bu olayla ilgili yetkisiz erişim olduğuna dair herhangi bir kanıt görmedik; etki yalnızca kimlik doğrulama hatalarıyla sınırlıydı.

Müşteri işlemi

Hala Logto Konsoluna giriş yapamıyorsan lütfen şunları dene:

  • gizli / özel pencere açmak veya
  • tarayıcı önbelleğini temizleyip/devre dışı bırakıp tekrar denemek

Ne oldu

  1. Müşteri kiracı alan adlarında (*.logto.app) JWKS önbellekleme ayarlarını güncelledik. JWKS önbellekleme, hatalı bir şekilde Bulut alanımızda (*.logto.io) hala etkin durumdaydı.
  2. Bulut hizmetimiz için imzalama anahtarını döndürdük. *.logto.io için JWKS yanıtları önbelleğe alındığı için, bazı istemciler eski bir JWKS'i kullanmaya devam etti ve yeni verilen token'ları doğrulayamadı.
  3. *.logto.io için JWKS önbelleğini temizleyip önceki imzalama anahtarına döndük, ardından istemciler geri alınan anahtar kümesini alsın diye JWKS önbelleğini tekrar temizledik.
  4. Kimlik doğrulama geri geldi. Bazı kullanıcılar tarayıcı önbelleği sebebiyle Konsol oturum açma sorunları görebilir.

Çıkarılan Dersler

Anahtar döndürme sadece bir anahtar yönetimi görevi değildir. Bu, yayıncılar ve doğrulayıcılar arasındaki önbellekleme davranışını da göz önünde bulundurması gereken uçtan uca bir uyumluluk değişikliğidir. Alanlar arasında (*.logto.app ve *.logto.io) yapılandırma farklılığı gerçek bir risktir. Bir alan için güvenli olan değişiklikler, diğerinde tutarlı şekilde uygulanmazsa bozulmalara yol açabilir.

Mevcut entegrasyon testlerimiz, üretim benzeri JWKS önbellekleme davranışını kapsamıyordu, bu nedenle bu hata durumu döndürmeden önce test edilmedi.

Önleyici eylemler

Şu adımları uyguluyoruz:

  • JWKS önbellek geçersiz kılmayı imzalama anahtarı döndürme sürecinde zorunlu bir adım yapmak (ancak geçersiz kılma tamamlandıktan sonra döndür)
  • geçersiz kılma süreci tamamlanana kadar JWKS önbelleklemesini devre dışı bırakmak, ardından performans için tekrar etkinleştirmek
  • anahtar döndürme için JWKS önbellekleme davranışı ve önbellek geçersiz kılma kontrollerini kapsayan, üretim benzeri entegrasyon testleri