我正在使用不公开的gcloud服务,即您需要使用设置有gcloud身份令牌的授权标头连接到该服务。
文档使用curl演示了如何从命令行使用它,但是由于我的案例涉及Web应用程序,因此我在连接到页面时使用了浏览器扩展来注入此标头。
抱歉,完成后,我忘了关闭电源,这导致访问了一些在请求标头中设置了该令牌的网站。这意味着某些第三方现在可能具有该代码。
关于此的2个问题:
身份令牌是JWT,并且是不记名令牌(毫无疑问,您应该知道),并且通常包括短暂的(60分钟)到期时间。
如您所建议,您应该非常小心使用它们,因为它们可能会被滥用(有效)。
您可以使用(值得信赖的!)工具查询您的JWT,以检查其到期时间:
[我不确定(不是意味着没有)是否存在一种方法来强制使Google发布的JWT过期
与一位非常了解auth的Google员工交谈,他确认您必须等待到期。