我正在为API构建自定义授权流程。该API受Firebase Authentication保护。我在php中有一个基于Lcobucci\JWT库的第三方令牌验证模块。我们必须验证令牌的kid标头,以确认令牌是由Firebase发行的。 public key和x509 Certificate是Google的Here。并根据Firebase Docs,
孩子头必须与https://www.googleapis.com/robot/v1/metadata/x509/securetoken@system.gserviceaccount.com
中列出的公共密钥之一相对应
我正在存储公共密钥,以避免运行时请求延迟和开销。因此,下一步是在我的项目中刷新Google的公钥。但是Google多久轮换一次这些公钥?是否定期旋转?如果是,那么公钥的更改期限和更改率是多少?