— и, что важнее всего, отзывать токены — то так ли необходимо использовать токен только для того, чтобы с его помощью доверить контейнеру право получать собственно секреты? Почему бы не ограничить использование чувствительных данных предоставлением разового индивидуального токена в каждом случае? Ну то есть я пока теоретизирую, но так — можно?
ПМСМ, при выборе между записью секрета an sich и передачей токена я бы выбрал последнее, без повторного использования токена в любом случае.
Что еще? Можно, наверное, на основе токена удостоверяться, что вот этот контейнер (сервис) действительно тот, за кого себя выдает, и предоставлять необходимые разрешения таким образом. Навскидку крутится в голове что-то про OAuth.
Еще раз, я пока вещаю с дивана.
Все верно говорите
У нас это в dev стабильно Скоро prod
Обсуждают сегодня