如何解决从经过身份验证的请求转发 OAuth 2 凭据特别是在 GCP 中
我有一个位于 IAP(身份感知代理)后面的 AppEngine 应用程序,因此它接收经过身份验证并包含 JWT 令牌的请求。我想从 AppEngine 应用程序向 Google Sheets API 发出请求。这也需要经过身份验证的连接,但鉴于我希望在通过 IAP 访问应用程序的同一用户下建立该连接,有谁知道如何从 AppEngine 应用程序内部创建一个请求,将令牌转发到 Google Sheets ?找不到有关该主题的任何信息...我正在使用 Java,因此将不胜感激任何 Java 指针,但一般/其他语言帮助也很好 
解决方法
我将描述评论中提出的 2 种方法
- 第一个,重复使用 IAP 代理令牌来访问 Google Sheet 是不可能的,而且很危险。
- 不可能,因为您从 IAP 收到身份令牌(至少请求者/浏览器向 IAP 发送身份令牌)并且您需要访问令牌来请求 Sheet API。
- 危险,因为如果您能够重复使用 IAP 令牌来请求 Google 表格,则意味着用户有权访问 Google 表格。而且我确信您开发了一个应用来防止对 Google 表格的任何直接访问/修改。
- 第二种是使用技术帐户(通常是服务帐户)并生成访问令牌以访问 Sheet API。
第二种方法是最好的方法(不要忘记在您的 AppEngine 应用程序中正确记录用户请求和后续工作表 API 调用,以实现端到端的可追溯性)。 但是,正是因为你问这个问题,App Engine 默认服务帐户是不可能的。
事实上,要访问 Sheet API,您需要使用 Sheet API 来限定访问令牌的范围。遗憾的是,您无法使用 App Engine 执行此操作。您可以使用 Cloud Run、Cloud Functions、Compute Engine (没有默认服务帐户,否则您需要额外的配置才能使用 Compute Engine 默认服务帐户实现此目的)。但不是 App Engine。
因此,您有两种解决方案:
- 或者您使用了其他托管平台(例如 Cloud Run),但您失去了 IAP 容量(暂时)
- 您继续使用 App Engine,但需要向另一个服务帐户请求访问令牌(不需要拥有服务帐户密钥文件)。您可以为此使用 Service Account Credential API。我wrote an article在这个 API 上
注意:在 2021 年晚些时候,App Engine 应该能够接受自定义服务帐户,因此问题应该得到解决
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
