#禁用 PKCE Plain 方法

从 ACP v4.3.0 开始，登录授权默认启用 PKCE（Proof Key for Code Exchange）验证。为保持与使用 Agnostic 生命周期且尚未升级的受影响插件向后兼容，平台在升级后会同时保留安全的 S256 方法和 plain code challenge 方法。

一旦所有受影响的 Agnostic 插件都升级到与 ACP v4.3.0 兼容的版本，你应移除 plain 方法，以强制仅使用 S256 的 PKCE 验证。

#前提条件

• 具有 cluster-admin 权限的 kubectl 访问权限，可访问 global 集群。
• 平台管理的所有集群均已升级到 ACP v4.3。
• 以下使用 Agnostic 生命周期的受影响插件已升级到与 ACP v4.3 兼容的版本：
  • Alauda Container Platform Gitops
  • Alauda Build of Kiali
  • Kubeflow Base
  • Alauda AI

#操作步骤

OIDC 客户端配置存储为 cpaas-system 命名空间中的 OAuth2Client 自定义资源。根据 client ID 确定目标资源名称：

OIDC_CLIENT_NAME="$(kubectl get oauth2client -n cpaas-system \
  -o jsonpath='{range .items[?(@.id=="alauda-auth")]}{.metadata.name}{"\n"}{end}' | head -n 1)"
test -n "${OIDC_CLIENT_NAME}" || { echo "Failed to find OAuth2Client for id=alauda-auth"; exit 1; }
echo "Target OAuth2Client: ${OIDC_CLIENT_NAME}"

编辑 OAuth2Client 资源：

kubectl edit oauth2client "${OIDC_CLIENT_NAME}" -n cpaas-system

找到 codeChallengeMethods 字段，并删除 plain 条目，仅保留 S256：

# Before
codeChallengeMethods:
- S256
- plain

# After
codeChallengeMethods:
- S256

保存并退出编辑器。更改会立即生效。

#验证

确认已移除 plain 方法：

kubectl get oauth2client "${OIDC_CLIENT_NAME}" -n cpaas-system \
  -o jsonpath='{.codeChallengeMethods}'

输出应为：

["S256"]

对每个受影响插件（Alauda Container Platform Gitops、Alauda Build of Kiali、Kubeflow Base 和 Alauda AI）至少执行一次登录/授权验证，以确认不存在与 PKCE 相关的身份验证失败。

#回滚

如果在移除 plain 方法后出现身份验证问题（例如，任何受影响插件的登录或授权失败），请将其重新添加：

kubectl patch oauth2client "${OIDC_CLIENT_NAME}" -n cpaas-system \
  --type merge \
  -p '{"codeChallengeMethods":["S256","plain"]}'

回滚后，再次验证受影响插件的登录，然后执行 unset OIDC_CLIENT_NAME。