4.3. 为 OAuth 客户端配置令牌不活跃超时
在一组不活跃的时间后,您可以将 OAuth 客户端配置为使 OAuth 令牌过期。默认情况下,不会设置令牌不活跃超时。
注意
如果在内部 OAuth 服务器配置中也配置了令牌不活动超时,OAuth 客户端中设置的超时会覆盖该值。
先决条件
-
您可以使用具有
cluster-admin角色的用户访问集群。 - 您已经配置了一个身份提供程序(IDP)。
流程
更新
OAuthClient配置,以设置令牌不活跃超时。编辑
OAuthClient对象:$ oc edit oauthclient <oauth_client> 1- 1
- 将
<oauth_client>替换为要配置的 OAuth 客户端,如控制台。
添加
accessTokenInactivityTimeoutSeconds字段并设置您的超时值:apiVersion: oauth.openshift.io/v1 grantMethod: auto kind: OAuthClient metadata: ... accessTokenInactivityTimeoutSeconds: 600 1- 1
- 允许的最小超时值(以秒为单位)为
300。
- 保存文件以使改变生效。
验证
- 使用来自您的 IDP 的身份登录到集群。确保使用您刚才配置的 OAuth 客户端。
- 执行操作并验证它是否成功。
- 等待的时间比配置的超时时间长而无需使用身份。在这个示例中,等待会超过 600 秒。
尝试从同一身份的会话中执行一个操作。
这个尝试会失败,因为令牌应该因为不活跃的时间超过配置的超时时间而过期。
