我正在尝试配置OIDC登录到我的Kubernetes,我对它的一些安全方面有点困扰。根据我收集的信息,它不会检查ID令牌的作用域,这意味着我的身份提供程序为我的用户提供的任何ID令牌都可以访问我的集群。这意味着使用相同身份提供者的另一个服务(甚至不是由我管理的)的后端可能会代表我访问我的集群。为什么?我的推理有什么问题吗?请赐教。先谢谢你。
nlejzf6q1#
您的应用程序将仅接受/信任来自您信任的特定令牌提供程序的令牌(ID/访问)。这些令牌是使用令牌提供程序的私钥签名的,您的应用程序将仅接受由该密钥签名的那些令牌。您的应用程序通常配置为仅信任来自一个颁发者的令牌。如果正确配置了来自其他来源的令牌,则应用程序应拒绝这些令牌(过去曾出现过一些examples)。
1条答案
按热度按时间nlejzf6q1#
您的应用程序将仅接受/信任来自您信任的特定令牌提供程序的令牌(ID/访问)。这些令牌是使用令牌提供程序的私钥签名的,您的应用程序将仅接受由该密钥签名的那些令牌。您的应用程序通常配置为仅信任来自一个颁发者的令牌。
如果正确配置了来自其他来源的令牌,则应用程序应拒绝这些令牌(过去曾出现过一些examples)。