Срок действия открытых ключей Google IAP?

Question

Срок действия открытых ключей Google IAP?

На этой странице представлены открытые ключи для расшифровки заголовков с помощью Google Identity Aware Proxy. Создание запроса к странице предоставляет свой собственный набор заголовков, один из которых Expires (содержит дату и время).

Что на самом деле означает срок годности? Я заметил, что он время от времени колебался, и не заметил, как публичные ключи менялись в момент истечения срока действия.

Я читал о защите вашего приложения с помощью подписанных заголовков, и в нем рассказывается, как извлекать ключи после каждого несоответствия идентификатора ключа, но я стремлюсь сделать более эффективный кэш, который будет реже извлекать ключи в зависимости от времени истечения срока действия.

Вот все заголовки со страницы открытых ключей:

Accept-Ranges →bytes
Age →1358
Alt-Svc →quic=":443"; ma=2592000; v="39,38,37,36,35"
Cache-Control →public, max-age=3000
Content-Encoding →gzip
Content-Length →519
Content-Type →text/html
Date →Thu, 29 Jun 2017 14:46:55 GMT
Expires →Thu, 29 Jun 2017 15:36:55 GMT
Last-Modified →Thu, 29 Jun 2017 04:46:21 GMT
Server →sffe
Vary →Accept-Encoding
X-Content-Type-Options →nosniff
X-XSS-Protection →1; mode=block

0

google-cloud-platform jwt public-key-encryption google-identity google-iap

Источник

user4926817 29 июн '17 в 15:07

1 ответ

Решение

Другие вопросы по тегам google-cloud-platform jwt public-key-encryption google-identity google-iap

user7764352 04 июл '17 в 04:27 2017-07-04 04:27 · Accepted Answer · 2017-07-04 04:27

Expires заголовок контролирует, как долго HTTP-кеш должен храниться на этой странице. Мы не удосужились дать инфраструктуре обслуживания контента Google какие-либо специальные инструкции для ключевого файла, поэтому все, что вы видите, является значением по умолчанию.

Есть ли причина, по которой подход "обновить ключевой файл при неудачном поиске" не подходит для вашего приложения? Я не уверен, что вы сможете добиться большего, чем это, так как:

Если нет ошибки или проблемы, вы никогда не должны получить ошибку поиска ключа.
Даже если бы у вас была запланированная выборка ключей, было бы целесообразно обновить файл ключей при сбое поиска как отказоустойчивый.

В настоящее время мы не вращаем клавиши слишком часто, хотя это может измениться в будущем (именно поэтому мы не публикуем интервал вращения), поэтому оно не должно быть значительным источником нагрузки. Вы замечаете, что обновление ключей влияет на вас?

- Мэтью, инженер Google Cloud IAP