我正在尝试配置OIDC登录到我的Kubernetes,但它的一些安全方面让我有点困扰。
根据我收集的信息,它没有检查ID令牌中的作用域,这意味着我的身份提供程序为我的用户提供的任何ID令牌都可以访问我的集群
这意味着使用同一身份提供程序的另一个服务(甚至不由我管理(的后端可能会代表我访问我的集群。然而,这似乎并不是人们担心的事情。
为什么?我的推理出了什么问题?请开导我。
提前谢谢。
您的应用程序将只接受/信任来自您信任的特定令牌提供商的令牌(ID/Access(。令牌是使用令牌提供商的私钥进行签名的,您的应用程序将只接受由该密钥签名的令牌。您的应用程序通常配置为仅信任来自一个颁发者的令牌。
如果其他来源的令牌配置正确,应用程序应该拒绝它们(过去也有一些例子(。