【问题标题】:Changes to keys of service account do not impact running service instance更改服务帐户的密钥不会影响正在运行的服务实例
【发布时间】:2019-06-27 14:00:13
【问题描述】:

添加或删除服务帐户的密钥未反映在 REST 服务的 ESP 代理中

我正在尝试测试服务帐户密钥的动态更新。此服务帐户用于验证对 REST 服务的请求。 REST 服务位于 ESP 实例后面。对于服务启动期间可用的密钥,身份验证按预期工作。但是,例如在服务启动之后添加的密钥不能用于身份验证。

在添加或删除密钥时重新启动服务似乎不是一个好的解决方案。理想情况下,ESP 代理会识别(可能在延迟之后)已添加(或删除)新密钥。

【问题讨论】:

标签: jwt google-cloud-endpoints service-accounts


【解决方案1】:

我假设您关注此instruction 以使用服务帐户在服务之间进行身份验证。如果是这样,您可能会遇到 JWKS 缓存问题。 ESP 将 JWKS 缓存 5 分钟。您可以使用 --jwks_cache_duration_in_s flag 来减少缓存持续时间

【讨论】:

    【解决方案2】:

    情况就是这样:ESP 确实缓存了密钥,因此对有效密钥的更新需要一些时间。有一些耐心,它确实有效。 奇怪的是,当设置在 GKE 而不是 kube 中运行时,对键的更改似乎传播得更快,即使配置相同。但是,它按预期工作。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2020-11-27
      • 1970-01-01
      • 1970-01-01
      • 2014-09-07
      • 2021-11-24
      • 2017-09-29
      • 1970-01-01
      相关资源
      最近更新 更多