4.3. 为 OAuth 客户端配置令牌不活跃超时

在一组不活跃的时间后,您可以将 OAuth 客户端配置为使 OAuth 令牌过期。默认情况下,不会设置令牌不活跃超时。

注意

如果在内部 OAuth 服务器配置中也配置了令牌不活动超时,OAuth 客户端中设置的超时会覆盖该值。

先决条件

  • 您可以使用具有 cluster-admin 角色的用户访问集群。
  • 您已经配置了一个身份提供程序(IDP)。

流程

  • 更新 OAuthClient 配置,以设置令牌不活跃超时。

    1. 编辑 OAuthClient 对象: 

      $ oc edit oauthclient <oauth_client> 1
      1
      <oauth_client> 替换为要配置的 OAuth 客户端,如 控制台

      添加 accessTokenInactivityTimeoutSeconds 字段并设置您的超时值: 

      apiVersion: oauth.openshift.io/v1
grantMethod: auto
kind: OAuthClient
metadata:
...
accessTokenInactivityTimeoutSeconds: 600 1
      1
      允许的最小超时值(以秒为单位)为 300
    2. 保存文件以使改变生效。

验证

  1. 使用来自您的 IDP 的身份登录到集群。确保使用您刚才配置的 OAuth 客户端。
  2. 执行操作并验证它是否成功。
  3. 等待的时间比配置的超时时间长而无需使用身份。在这个示例中,等待会超过 600 秒。

  4. 尝试从同一身份的会话中执行一个操作。

    这个尝试会失败,因为令牌应该因为不活跃的时间超过配置的超时时间而过期。