如何解决外部客户在Google Cloud Endpoints中的授权
我们正在开发一个API,供非Google Cloud内的外部客户端使用。
看来Google Cloud Endpoints是这种情况的理想选择。
我们需要什么:
- 客户可以在我们的“开发人员门户”中注册以获得必要的凭据。
- 跟踪我们的客户(查看特定客户的请求数量,撤消其对API的访问权限等)
我不清楚的部分是,如果客户不在Google Cloud中,则如何对他们进行身份验证和识别。
我们已经在一部分或我们的应用程序中通过用户电子邮件使用Firebase身份验证。继续使用该身份验证会很方便,但是我不太了解如何使用。 Google docs说客户端应用程序必须发送JWT令牌。但是,它必须使用什么私钥来签署JWT?
我们正在考虑的第二种认证客户端的方法是使用custom method认证用户。但我有一个相同的问题:客户端应用程序必须使用什么私钥来签名JWT?
客户端是否打算生成自己的密钥对?
如果在我们的用例中有一些更好的选择,或者如果我缺少一些东西,请随时为我指明正确的方向。
解决方法
您的方法正确!
- 使用firebase,JS库允许您验证正确的身份提供者,而lib也允许您生成JWT。这里不需要私钥!
- 与自定义方法不同。 Cloud Endpoint需要验证JWT的签名。为此,Cloud Endpoint需要知道用于签署JWT的私钥的公钥。大多数情况下,它是由您自己的IdP系统提供的。
在您的上下文中,Firebase auth(如果要在Google Cloud上管理用户,则为Cloud Identity Platform)是最适合您的解决方案。 对于多个客户,您无法注册其所有公钥,唯一的解决方案是拥有自己的IDP,并在其上注册所有客户。
我还有一个问题:您打算如何计算每个客户的请求数量?是通过Cloud Endpoint还是您自己的数据库?
,我们提出了一种使用custom方法对用户进行身份验证的解决方案:
- 我们使用firebase通过电子邮件实现了用户身份验证(如我的问题所述。)
- 为用户添加了一种将其公共证书上传到我们的“门户”的方法。
2.1。这是使用Google Cloud功能完成的。基本上,我们创建了两个端点:
2.1.1。使用Firebase令牌上传公共证书。
2.1.2。通过某个网址以JWKS格式显示所有公共证书(通过这种方式,谷歌能够验证用户的JWT签名) - 为用户发布了有关如何形成JWT以使用我们的API的说明(此时,每个用户都必须拥有与其之前上传的公钥关联的私钥)。
- 现在我们API的用户可以使用提供的JWT令牌进行API调用。
我们的技术堆栈如下:
- 云功能(用于证书处理)。
- Firestore(用于身份验证,存储证书等)。
- 使用ESPv2的Cloud Endpoints
- Google App Engine标准环境
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。