有没有办法生成根本不会过期的保管库客户端令牌?

Is there a way to generate vault client tokens that don't expire at all?

我正在使用 https://www.vaultproject.io/docs/auth/approle.html 生成保险库客户端令牌,但我希望它们永远不会过期。这可能吗?

不,事实上这是一个坏主意 (tm)。但是你可以靠近。您可以将最大 ttl 设置为 10 年或其他时间,并让它有效地不过期。但是,从安全角度来看,这很糟糕。这里的目标是,能够随时轻松轮换秘密。 IE。你看到有人窃取了登录的秘密,你应该能够非常快速和轻松地设置一个新密码,你的 code/programs 使用这些秘密应该处理它,只需在他们的 TTL 过期时从保险库中获取新值。

这适用于一切,包括金库令牌。