Google IAP Public 密钥过期?
Google IAP Public Keys Expiry?
This page 提供 public 密钥从 Google 的身份识别代理解密 headers。向页面发出请求会提供自己的一组 headers,其中之一是 Expires(它包含一个日期时间)。
过期日期到底是什么意思?我注意到它偶尔会波动,但没有注意到 public 密钥在到期时间发生变化。
我已经阅读了有关 Securing Your App With Signed Headers 的内容,其中介绍了每次密钥 ID 不匹配后如何获取密钥,但我希望制作一个更高效的缓存,它可以根据到期时间。
以下是 public 键页面中的所有 headers:
Accept-Ranges →bytes
Age →1358
Alt-Svc →quic=":443"; ma=2592000; v="39,38,37,36,35"
Cache-Control →public, max-age=3000
Content-Encoding →gzip
Content-Length →519
Content-Type →text/html
Date →Thu, 29 Jun 2017 14:46:55 GMT
Expires →Thu, 29 Jun 2017 15:36:55 GMT
Last-Modified →Thu, 29 Jun 2017 04:46:21 GMT
Server →sffe
Vary →Accept-Encoding
X-Content-Type-Options →nosniff
X-XSS-Protection →1; mode=block
Expires header 控制 how long HTTP caches are supposed to hold onto that page。我们没有为 Google 的 content-serving 基础设施提供任何关于密钥文件的特殊说明,因此无论您看到什么,都是默认值。
"refresh the keyfile on lookup failure" 方法不适合您的应用程序是否有原因?我不确定您能否做得更好,因为:
- 除非存在错误或问题,否则您永远不会遇到密钥查找失败的情况。
- 即使您确实有一些预定的密钥提取,仍然建议在查找失败时将密钥文件刷新为 fail-safe。
我们 目前 不轮换密钥 super-frequently,尽管将来可能会改变(这就是我们不公布轮换间隔的原因),所以它不应该是一个重要的负载来源。您是否观察到刷新密钥对您有影响?
--Matthew,Google Cloud IAP 工程师
This page 提供 public 密钥从 Google 的身份识别代理解密 headers。向页面发出请求会提供自己的一组 headers,其中之一是 Expires(它包含一个日期时间)。
过期日期到底是什么意思?我注意到它偶尔会波动,但没有注意到 public 密钥在到期时间发生变化。
我已经阅读了有关 Securing Your App With Signed Headers 的内容,其中介绍了每次密钥 ID 不匹配后如何获取密钥,但我希望制作一个更高效的缓存,它可以根据到期时间。
以下是 public 键页面中的所有 headers:
Accept-Ranges →bytes
Age →1358
Alt-Svc →quic=":443"; ma=2592000; v="39,38,37,36,35"
Cache-Control →public, max-age=3000
Content-Encoding →gzip
Content-Length →519
Content-Type →text/html
Date →Thu, 29 Jun 2017 14:46:55 GMT
Expires →Thu, 29 Jun 2017 15:36:55 GMT
Last-Modified →Thu, 29 Jun 2017 04:46:21 GMT
Server →sffe
Vary →Accept-Encoding
X-Content-Type-Options →nosniff
X-XSS-Protection →1; mode=block
Expires header 控制 how long HTTP caches are supposed to hold onto that page。我们没有为 Google 的 content-serving 基础设施提供任何关于密钥文件的特殊说明,因此无论您看到什么,都是默认值。
"refresh the keyfile on lookup failure" 方法不适合您的应用程序是否有原因?我不确定您能否做得更好,因为:
- 除非存在错误或问题,否则您永远不会遇到密钥查找失败的情况。
- 即使您确实有一些预定的密钥提取,仍然建议在查找失败时将密钥文件刷新为 fail-safe。
我们 目前 不轮换密钥 super-frequently,尽管将来可能会改变(这就是我们不公布轮换间隔的原因),所以它不应该是一个重要的负载来源。您是否观察到刷新密钥对您有影响?
--Matthew,Google Cloud IAP 工程师