将Kube配置为指向外部OpendID提供程序,通过浏览代码,Kube会调用OpendID提供程序来获取刷新令牌。当它回来时,它会期望id_token回来。通过跟踪代码看起来,Kube将尊重持有者令牌的到期时间,并且在持有者令牌到期之前不会调用OpendID提供者。
这是否正确描述了刷新令牌在Kube中的工作方式?
答案 0 :(得分:1)
Kubernetes没有任何刷新令牌的概念,因为Kubernetes API服务器不是OpenID提供者的客户端,它只是验证特定客户端的id_token问题。
OpenID提供商希望代表最终用户与API服务器通信的客户端必须管理刷新令牌,以便在当前过期时发出更多id_token个。 API服务器不会为您执行此操作。