那些遇到过的问题

如何验证 Kubernetes 服务帐户令牌 (JWT)

E23*_*235 5 authentication jwt kubernetes

我创建了一个服务帐户并创建了一个与该服务帐户关联的 Pod。
在 Pod 中,我有服务帐户令牌: 

eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJkZWZhdWx0Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZWNyZXQubmFtZSI6Im15c2VydmljZS10b2tlbi1xY21jcSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50Lm5hbWUiOiJteXNlcnZpY2UiLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlcnZpY2UtYWNjb3VudC51aWQiOiJlZmVkM2MwZi02ZTEwLTExZTgtYWEwOC0wMDUwNTY4NTdjYWYiLCJzdWIiOiJzeXN0ZW06c2VydmljZWFjY291bnQ6ZGVmYXVsdDpteXNlcnZpY2UifQ.Q6evTXCaZ99eBRsOrNnu-UlCJsYu4EKNijxEYyMe8Kq6G9e5likG08DwqMyUOP9uVT7kbOR6VOqIuJ4w0xShG6H2zcXhsF7dViFdo9LaYrs2830XjkiMRAxqJmkcvNseeqwBL1aS5SiNz_xf8RgIZaU1Oik69KVRWncno3dZHEyr2PrwDt4akSorCAC9nyhWKV-oL7FWtQjRKzfr3utbvGMLU6YKVN6cDR4C-GrvVUM1eI0o_-6kovz4VKJKfiOb0c7ttAM_9h4kNOaRxtmTVPTBzBEy6qJUgva0IUlpya8AChRyGncXc6qIJaVOkgUvZm7SpI77Czxz0TrkGezVhA/
Run Code Online (Sandbox Code Playgroud)

我用jwt.io网站解码了 JWT 。

在它下面有一个地方,我可以验证我的令牌,但它要求提供公钥或证书:
在此处输入图片说明

在 Pod 中,我有集群证书 ( ca.crt):
在此处输入图片说明

我输入了它,但它说它无效。
ca.crt 内容: 

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Run Code Online (Sandbox Code Playgroud)

在哪里可以找到与此服务帐户令牌相关联的公钥或证书?
在 worker 内部有一个位置,/var/lib/kubelet/pki但密钥和证书与 kubelet 相关:
kubelet-client.crt kubelet-client.key kubelet.crt kubelet.key

参考:
kubernetes 上的 CA 证书和 JWT 令牌

Ign*_*lán 1

发出服务帐户令牌的不是 kubelet,而是 kube-controller-manager。您可以在主节点文件系统中找到密钥。--service-account-signing-key-file具体来说,您可以在 apiserver 配置中的参数(私钥)和--service-account-key-file(公钥)的值中找到路径。

请参阅此处的文档了解这些值:https://kubernetes.io/docs/reference/command-line-tools-reference/kube-apiserver/

归档时间:

查看次数:

3344 次

最近记录:

7 年,2 月 前
相关归档
即使在 jwt 上,Firebase ID 令牌也具有无效签名 13
Spring安全身份验证:获取没有SPRING_SECURITY_LAST_USERNAME的用户名 10
在 Spring Boot 安全性中使用公钥/私钥创建和验证 JWT 签名 7
在MVC应用程序中重新验证用户的操作 6
如何在Web API身份验证服务中获取AuthTicket中包含的声明? 6
带有 GKE 内部负载均衡器的 DNS 6
在Dockerfile中进行Subversion导出/签出而不在屏幕上打印密码 4
MySQL 8远程访问 4
AWS上的Kubernetes 1.4 SSL终止 2
解析 JWT:验证 ID 令牌时出错:输入字节 0 处存在非法 base64 数据 0
难疑归档
如何使用保存实例状态保存Android Activity状态? 2538
Git获取远程分支 2088
从C#中的枚举中获取int值 1698
如何检查字符串"StartsWith"是否是另一个字符串? 1660
查看未发布的Git提交 1649
计算C#中的相对时间 1461
静态只读与const 1349
在JavaScript中停止setInterval调用 1332
哪些字符在CSS类名/选择器中有效? 1171
致命错误:Python.h:没有这样的文件或目录 1042