更改服务帐户的密钥不会影响正在运行的服务实例

【问题标题】:Changes to keys of service account do not impact running service instance更改服务帐户的密钥不会影响正在运行的服务实例
【发布时间】:2019-06-27 14:00:13
【问题描述】:

添加或删除服务帐户的密钥未反映在 REST 服务的 ESP 代理中

我正在尝试测试服务帐户密钥的动态更新。此服务帐户用于验证对 REST 服务的请求。 REST 服务位于 ESP 实例后面。对于服务启动期间可用的密钥,身份验证按预期工作。但是,例如在服务启动之后添加的密钥不能用于身份验证。

在添加或删除密钥时重新启动服务似乎不是一个好的解决方案。理想情况下,ESP 代理会识别(可能在延迟之后)已添加(或删除)新密钥。

【问题讨论】:

标签: jwt google-cloud-endpoints service-accounts


【解决方案1】:

我假设您关注此instruction 以使用服务帐户在服务之间进行身份验证。如果是这样,您可能会遇到 JWKS 缓存问题。 ESP 将 JWKS 缓存 5 分钟。您可以使用 --jwks_cache_duration_in_s flag 来减少缓存持续时间

【讨论】:

    【解决方案2】:

    情况就是这样:ESP 确实缓存了密钥,因此对有效密钥的更新需要一些时间。有一些耐心,它确实有效。 奇怪的是,当设置在 GKE 而不是 kube 中运行时,对键的更改似乎传播得更快,即使配置相同。但是,它按预期工作。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2020-11-27
      • 1970-01-01
      • 1970-01-01
      • 2014-09-07
      • 2021-11-24
      • 2017-09-29
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode