如何验证 Kubernetes 服务帐户令牌 (JWT)

Posted 2023-03-10

【中文标题】如何验证 Kubernetes 服务帐户令牌 (JWT)

【英文标题】：How to verify Kubernetes service account token (JWT)

【发布时间】：2018-11-21 15:07:55

【问题描述】：

我创建了一个服务帐户并创建了一个与该服务帐户关联的 Pod。 在 Pod 中，我有服务帐户令牌：

eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJkZWZhdWx0Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZWNyZXQubmFtZSI6Im15c2VydmljZS10b2tlbi1xY21jcSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50Lm5hbWUiOiJteXNlcnZpY2UiLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlcnZpY2UtYWNjb3VudC51aWQiOiJlZmVkM2MwZi02ZTEwLTExZTgtYWEwOC0wMDUwNTY4NTdjYWYiLCJzdWIiOiJzeXN0ZW06c2VydmljZWFjY291bnQ6ZGVmYXVsdDpteXNlcnZpY2UifQ.Q6evTXCaZ99eBRsOrNnu-UlCJsYu4EKNijxEYyMe8Kq6G9e5likG08DwqMyUOP9uVT7kbOR6VOqIuJ4w0xShG6H2zcXhsF7dViFdo9LaYrs2830XjkiMRAxqJmkcvNseeqwBL1aS5SiNz_xf8RgIZaU1Oik69KVRWncno3dZHEyr2PrwDt4akSorCAC9nyhWKV-oL7FWtQjRKzfr3utbvGMLU6YKVN6cDR4C-GrvVUM1eI0o_-6kovz4VKJKfiOb0c7ttAM_9h4kNOaRxtmTVPTBzBEy6qJUgva0IUlpya8AChRyGncXc6qIJaVOkgUvZm7SpI77Czxz0TrkGezVhA/

我使用jwt.io 网站解码了 JWT。

在它下面有一个地方可以验证我的令牌，但它要求提供公钥或证书：

在 Pod 内我有集群证书 (ca.crt)：

我输入了它，但它说它无效。ca.crt 内容：

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

在哪里可以找到与此服务帐户令牌相关联的公钥或证书？ 在 worker 内部有一个位置 /var/lib/kubelet/pki，但密钥和证书与 kubelet 相关：kubelet-client.crt kubelet-client.key kubelet.crt kubelet.key

参考：CA Certificate and JWT tokens on kubernetes

【问题讨论】：

嘿。如果您还没有指定密钥（根据您的问题，我相信您没有）您的 API 服务器的 TLS 私钥将被使用。有关您的问题的信息，您可以在这里查看：kubernetes.io/docs/reference/access-authn-authz/authentication

我没有指定密钥。但是我尝试使用来自 API 服务器的 TLS 私钥 /etc/kubernetes/pki/sa.key 但它没有验证它。

【参考方案1】：

发出服务帐户令牌的不是 kubelet，而是 kube-controller-manager。您可以在主节点文件系统中找到密钥。具体可以在apiserver配置中参数--service-account-signing-key-file（私钥）和--service-account-key-file（公钥）的值中找到路径。

在此处查看这些值的文档：https://kubernetes.io/docs/reference/command-line-tools-reference/kube-apiserver/

【讨论】：

为了验证，他们提到我需要使用公钥或证书。我找到了/etc/kubernetes/pki/sa.pub，但是这个还是不行。

刚刚编辑了答案。您可以在 --service-account-key-file 的值中找到公钥。

@IgnacioMillán 问题是如何从吊舱内部“仅验证”等

如何访问--service-account-key-file？换句话说，如果我想确保我收到的服务帐户令牌实际上是有效的，我需要检查签名。我可以单独使用公钥来做到这一点。