Security 非组织成员是否可以利用Google客户端id和客户端机密凭据?
假设我们有一个kubernetes集群,Google作为身份验证的OIDC提供者。 使用该集群的每个开发人员都配置了Security 非组织成员是否可以利用Google客户端id和客户端机密凭据?,security,authentication,kubernetes,google-oauth,Security,Authentication,Kubernetes,Google Oauth,假设我们有一个kubernetes集群,Google作为身份验证的OIDC提供者。 使用该集群的每个开发人员都配置了~/.kube/config,配置如下: user: auth-provider: config: client-id: <client-id> client-secret: <client-secret> id-token: <id-token> idp-iss
~/.kube/config
,配置如下:
user:
auth-provider:
config:
client-id: <client-id>
client-secret: <client-secret>
id-token: <id-token>
idp-issuer-url: https://accounts.google.com
refresh-token: <refresh-token>
用户:
身份验证提供程序:
配置:
客户端id:
客户机密:
id令牌:
idp颁发者url:https://accounts.google.com
刷新令牌:
当开发人员离开组织时,他将从Google登录中删除,并且他不能使用此~/.kube/config
访问kubernetes资源,因为他需要登录Google,但他现在不能这样做
但客户id和机密仍被泄露
此处的泄漏可能会引起任何安全问题李>客户端机密
- 非组织成员可以使用组织成员利用它吗李>
- 此
和客户id
是否可用于制作不同的应用程序,并可被利用以使现有组织用户登录并代表该现有用户访问id令牌客户机密
PS:此客户端id和客户端机密的凭据类型为“其他”,而不是带有重定向url的“Web应用程序”。首先,离开工作后禁止使用可靠凭据和访问帐户,这就是为什么开发人员在离开工作后无法访问此类数据的原因 Kubernetes中OpenID的流程:
$kubectl config unset users.gke_project_zone_name
现在,k8s oidc配置的客户机密码是可选的,这意味着它可以支持公共客户机(有或没有客户机密码)和机密客户机(每个kubectl用户都有客户机密码)
所以每个问题的答案都是否定的,不需要担心安全问题
我希望这能有所帮助。首先也是最重要的一点,离职后禁止使用可靠的凭证和访问帐户,这就是为什么开发者在离职后无法访问此类数据的原因 Kubernetes中OpenID的流程:
$kubectl config unset users.gke_project_zone_name
现在,k8s oidc配置的客户机密码是可选的,这意味着它可以支持公共客户机(有或没有客户机密码)和机密客户机(每个kubectl用户都有客户机密码)
所以每个问题的答案都是否定的,不需要担心安全问题
我希望有帮助