Изменения ключей учетной записи службы не влияют на работающий экземпляр службы

Question

Добавление или удаление ключей для учетной записи службы, не отраженной в прокси-сервере ESP для службы REST

Я пытаюсь проверить динамическое обновление ключей для учетной записи службы.Эта учетная запись службы используется для проверки подлинности запросов к службе REST.Служба REST находится за экземпляром ESP.Аутентификация работает, как и ожидалось, для ключей, которые были доступны при запуске службы.Однако, например, ключ, который был добавлен после , когда служба была запущена, не может использоваться для аутентификации.

Перезапуск службы, когда ключи были добавлены или удалены, не является хорошим решением.В идеале прокси-сервер ESP распознает (возможно, после задержки), что новые ключи были добавлены (или удалены).

Answer 1

Это было так: ESP кэширует ключи, и поэтому обновление действительных ключей занимает некоторое время. С некоторым терпением это работает. Любопытно, что когда установка запускается в GKE вместо kube, изменения в ключах распространяются гораздо быстрее, даже если конфигурация одинакова. Тем не менее, он работает как ожидалось.

Answer 2

Я предполагаю, что вы следуете этой инструкции , чтобы использовать учетную запись службы для проверки подлинности между службами.Если это так, вы можете столкнуться с проблемой кеша JWKS.ESP кэширует JWKS в течение 5 минут.Вы можете уменьшить длительность кэша, используя --jwks_cache_duration_in_s flag