Kubernetes身份认证资源 —— TokenReview详解

1、概述

　　Kubernetes 中的 TokenReview 是用于验证令牌（Token）有效性的一种 API 资源，属于 authentication.k8s.io/v1 API 组。它允许客户端通过创建 TokenReview 对象向 API Server 发起一个请求以验证一个令牌是否合法，并获取与该令牌关联的用户信息（如用户名、组、附加属性等）。大致验证流程如下：

1. +----------------+          (1) 创建 TokenReview 请求       +----------------+
2. |   客户端         | ------------------------------------> |   API Server   |
3. | （外部服务等）    |                                       |   （服务端）     |
4. +----------------+ <------------------------------------ +----------------+
5.                         (2) 返回验证结果（status 字段）

复制代码

关键响应字段：

1. apiVersion: authentication.k8s.io/v1
2. kind: TokenReview
3. spec:
4.   token: "<Bearer Token>"  # 要验证的令牌（必需）
5.   audiences: ["aud1", "aud2"]  # 可选：指定令牌的目标受众（audience），如果令牌的受众不匹配，验证会失败，通过kube-apiserver验证话受众为https://kubernetes.default.svc.cluster.local

复制代码

注意 1：确保调用Kube-APIServer服务的客户端拥有创建TokenReview资源对象的权限。

1. apiVersion: v1
2. kind: ServiceAccount
3. metadata:
4.   name: zmc-serviceaccount

复制代码

注意 2：　客户端获创建 TokenReview 权限，便能调用 Kube-APIServer，对令牌合法性进行验证，可以帮助鉴定Token合法性。

5、 应用场景

• ServiceAccount Token 验证：当 Pod 使用 ServiceAccount 访问 API Server 时，API Server 会自动验证其 Token 的有效性。
  
• 外部身份提供者集成：与 OpenID Connect (OIDC)、Webhook Token Authentication 等外部认证系统集成时，可通过TokenReview验证外部令牌。
  
• 自定义身份验证逻辑：开发自定义控制器或服务时，可能需要验证客户端提供的令牌是否合法。
  

6、总结 

　　通过TokenReview，Kubernetes 提供了一种标准化的方式验证令牌并获取身份信息，是实现安全认证的关键机制之一。

• TokenReview 的验证行为始终由服务端（API Server）执行，客户端仅通过 API 触发验证请求。
  
• 这种设计将验证逻辑集中在服务端，同时为客户端提供了一种标准化的身份验证查询方式，兼顾安全性与灵活性。
  

参考文档：https://kubernetes.io/zh-cn/docs/reference/kubernetes-api/authentication-resources/token-request-v1/
参考文档：https://kubernetes.io/zh-cn/docs/reference/kubernetes-api/authentication-resources/token-review-v1/

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！