当前位置: 首页 > 知识库问答 >
问题:

如何使用谷歌云服务帐户在两个服务之间进行auth

百里胜泫
2023-03-14

我有两个服务运行在谷歌计算引擎。这些服务是用GO编写的。每个服务都有单独的GCP服务帐户。在调用另一个服务时,我可以使用此服务帐户对一个服务进行身份验证吗?有没有适合它的API?

我不知道如何验证访问令牌的身份?正如其中一个答案所指出的,我无法向GCP IAM添加自定义权限(角色+资源)。

有大量关于验证Google云平台API调用的文档,但没有任何关于使用服务帐户来保护自己的endpoint的文档。

关键是,我不想管理单独的一组权限,一个用于服务帐户,另一个用于KeyCloak或其他系统

共有1个答案

翁建弼
2023-03-14

但没有任何关于使用服务帐户保护自己的endpoint的内容。

我不知道你想表演什么。您可以您的服务帐户的能力为您自己检查。

为了简单起见,服务帐户是一个私钥和一封电子邮件,用来标识调用者。您可以在调用方使用这些信息构建签名令牌。

在接收者端,您可以获取此令牌,验证签名并提取调用者服务帐户的电子邮件。如果没有问题,您的电话是经过身份验证的!

如果你想检查授权,你必须检查它是否对你的应用程序有权。您不能拥有自定义GCP权限,因为您必须在接收方处理每个电子邮件(用户或服务帐户)的权限数据库。

 类似资料:
  • 我正在调查AWS/Google云基础架构系统是否可以混合,我的要求之一是从一个系统到另一个系统的安全和简单的身份验证。目前,我需要从一个Google Cloud VM实例连接到一个受限的AWS S3 bucket。 我的问题通常是:有没有办法做到这一点,什么是最好的方法。我相信每个人都希望有机会使用多个云提供商为他们的基础设施提供高安全性、易用性和维护性。 经过一些研究,我发现唯一可能的方法是通过

  • 我正面临着以下问题:我已经创建了一个谷歌服务帐户,现在我正在尝试使用c#对谷歌API和YouTube数据API进行授权API调用。以下是我的示例代码: 代码生成成功,但当我启动程序时,我收到以下错误消息: 系统.IO.File未发现异常:“无法加载文件或程序集”弹跳卡思加密,版本=1.7.4137.9688,区域性=非特定,公钥令牌=a4292a325f69b123“或其依赖项之一。系统找不到指定

  • 我正在使用一个服务帐户访问我们的域名用户的谷歌驱动器,这工作像一个魅力!然而,我现在正在尝试使用相同的服务帐户获得用户的activity在谷歌驱动器。 我已授予服务帐户API访问https://www.googleapis.com/auth/activity和https://www.googleapis.com/auth/drive的权限 并启用API! 然而我总是得到错误403,禁止! 可能需要

  • 我想使用Google服务帐户JWT令牌获取Azure服务主体(SP)的临时凭据。这是从GKE工作负载调用Azure API所必需的,而无需在GKE中存储长期SP凭据。 这样的联盟对GCP来说可能吗- [1]https://cloud.google.com/iam/docs/workload-identity-federation [2] https://docs.aws.amazon.com/IA

  • 我正在使用Google. net客户端库来访问谷歌日历应用编程接口。我需要研发创建日历事件并将其发布给用户的应用程序。 这是一个服务器到服务器的应用程序,所以我创建了一个服务帐户,并用它来发送邀请。当从web浏览器提交响应时,创建的与会者对这些事件的响应将被更新,但当来自outlook等任何邮件客户端的响应时,响应将以电子邮件的形式发送给服务帐户电子邮件id(这是一个虚拟电子邮件id)。如何将有效