【问题标题】:Google IAP Public Keys Expiry?Google IAP 公钥到期?
【发布时间】:2017-06-29 15:07:09
【问题描述】:

This page 提供公钥来解密来自 Google 的 Identity Aware Proxy 的标头。向页面发出请求会提供其自己的一组标头,其中一个是Expires(它包含一个日期时间)。

到期日期实际上是什么意思?我注意到它偶尔会波动,并且没有注意到公钥在到期时发生变化。

我已经阅读了Securing Your App With Signed Headers,它介绍了如何在每次密钥 ID 不匹配后获取密钥,但我希望创建一个更高效的缓存,可以根据到期时间减少获取密钥的频率。

以下是公钥页面的所有标题:

Accept-Ranges →bytes
Age →1358
Alt-Svc →quic=":443"; ma=2592000; v="39,38,37,36,35"
Cache-Control →public, max-age=3000
Content-Encoding →gzip
Content-Length →519
Content-Type →text/html
Date →Thu, 29 Jun 2017 14:46:55 GMT
Expires →Thu, 29 Jun 2017 15:36:55 GMT
Last-Modified →Thu, 29 Jun 2017 04:46:21 GMT
Server →sffe
Vary →Accept-Encoding
X-Content-Type-Options →nosniff
X-XSS-Protection →1; mode=block

【问题讨论】:

    标签: google-cloud-platform jwt public-key-encryption google-identity google-iap


    【解决方案1】:

    Expires 标头控制how long HTTP caches are supposed to hold onto that page。我们没有费心向 Google 的内容服务基础架构提供任何有关密钥文件的特殊说明,因此无论您看到什么,都是默认值。

    是否存在“在查找失败时刷新密钥文件”方法不适合您的应用程序的原因?我不确定你能否做得更好,因为:

    • 除非存在错误或问题,否则您永远不会遇到密钥查找失败的情况。
    • 即使您确实有一些计划的密钥提取,作为故障保险,可能仍然建议在查找失败时刷新密钥文件。

    我们目前不非常频繁地轮换密钥,尽管这可能会在未来发生变化(这就是我们不公布轮换间隔的原因),所以它不应该是负载的重要来源。您是否发现刷新键对您有影响?

    --Matthew,Google Cloud IAP 工程师

    【讨论】:

    • 感谢您提供的信息!这个细节既不会影响也不会影响我的应用,但我想考虑解决问题的所有可能角度(看起来我将继续按照本文中的示例进行操作)。
    猜你喜欢
    • 2017-12-26
    • 2015-09-26
    • 2020-12-19
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2015-09-19
    • 1970-01-01
    相关资源
    最近更新 更多