Google Auth Library Node.js 中AWS工作负载身份与IMDSv2令牌过期问题分析

问题背景

在Google Auth Library Node.js项目中，当使用AWS工作负载身份联合认证时，发现一个与IMDSv2会话令牌管理相关的技术问题。该问题会导致应用程序在运行约一小时后开始出现认证失败的情况。

技术细节

AWS工作负载身份联合认证流程

AWS工作负载身份联合认证允许AWS上的工作负载（如EC2实例）通过AWS IAM角色获取Google Cloud的访问凭证。这一过程涉及多个步骤：

1. 从AWS元数据服务(IMDS)获取IAM角色信息
2. 使用IAM角色获取临时安全凭证
3. 将这些凭证交换为Google Cloud访问令牌

IMDSv2会话令牌机制

IMDSv2是AWS元数据服务的第二版，引入了会话令牌机制增强安全性。要访问元数据服务，客户端必须：

1. 首先获取一个会话令牌
2. 在后续请求中包含该令牌
3. 令牌有有效期（默认为6小时，但可配置）

问题根源分析

在Google Auth Library Node.js的实现中，存在以下设计缺陷：

1. 令牌单次获取：IMDSv2会话令牌仅在AwsClient初始化时获取一次，存储在awsRequestSigner实例中
2. TTL设置不当：获取令牌时设置的TTL仅为300秒（5分钟）
3. 缺乏刷新机制：没有在令牌过期前自动刷新令牌的逻辑

当应用程序运行时间超过令牌有效期后，尝试刷新Google Cloud访问令牌时会失败，因为用于获取AWS凭证的IMDSv2会话令牌已经过期。

影响范围

该问题影响所有满足以下条件的用户：

1. 使用Google Auth Library Node.js的AWS工作负载身份联合认证功能
2. 配置中启用了IMDSv2（通过imdsv2_session_token_url配置项）
3. 应用程序运行时间超过IMDSv2会话令牌有效期

解决方案建议

要彻底解决此问题，需要对AwsClient类进行以下改进：

1. 实现令牌刷新机制：在每次需要访问IMDS前检查令牌有效期，必要时刷新
2. 合理设置TTL：将默认TTL延长至接近IMDSv2允许的最大值（6小时）
3. 错误处理增强：捕获401错误并自动尝试刷新令牌

临时解决方案

对于受影响的用户，可以考虑以下临时解决方案：

1. 定期重启应用程序（不理想）
2. 实现自定义的AwsClient子类，覆盖相关方法加入令牌刷新逻辑
3. 暂时禁用IMDSv2（不推荐，降低安全性）

总结

这个问题揭示了在实现云服务间联合认证时需要考虑的令牌生命周期管理复杂性。正确处理各种令牌（IMDSv2会话令牌、AWS临时凭证、Google访问令牌）之间的依赖关系和刷新逻辑是确保系统长期稳定运行的关键。