我们有一家母公司处理子品牌AWS API Gateway项目的用户身份验证。这是通过公司发行JWT令牌完成的,然后通过AWS API Gateway Custom Authorizer对其进行验证,RS256签名的JWT令牌将通过其Authorizer中的相应公钥进行验证。子品牌项目很多,并且数量将继续增长。令牌的有效期为1小时。 (公司用私钥对令牌进行签名,每个品牌都根据公钥验证令牌)
公司政策规定我们每两年更换一次密钥对。
尝试协调精确的密钥对更新将无法很好地扩展。 (公司方面)的私钥更新和所有子品牌授权者中的许多公钥更新都是不可能的。公司无法控制或无法直接访问这些AWS账户/项目。使用中的令牌(在其启用后的1小时内)也不会受到影响。
有人能为非对称密钥实现密钥更新吗?