如何使用Workload identity在Google云的Google Kubernetes引擎中访问ESP。NET SDK？

出身背景

在Google Kubernetes引擎上，我们一直在使用云endpoint和可扩展服务代理（v2）进行服务到服务的身份验证。

这些服务通过在HTTP请求的授权头中包含承载JWT令牌来进行身份验证。

服务的标识已通过GCP服务帐户维护，并且在部署期间，Json服务帐户密钥被挂载到容器的预定义位置，该位置被设置为GOOGLE_APPLICATION_CREDENTIALSenv var的值。

这些服务是在C#和ASP. NET Core中实现的，为了生成实际的JWT令牌，我们使用Google Cloud SDK（https://github.com/googleapis/google-cloud-dotnet和https://github.com/googleapis/google-api-dotnet-client），其中我们调用以下方法：

var credentials = GoogleCredential.GetApplicationDefault();

如果GOOGLE_APPLICATION_CREDENTIALS被正确地设置为服务帐户密钥的路径，那么这将返回一个ServiceAcCountCredential对象，我们可以在该对象上调用GetAccessTokenForrecestAsync（）方法，该方法返回实际的JWT令牌。

var jwtToken = await credentials.GetAccessTokenForRequestAsync("https://other-service.example.com/");
var authHeader = $"Bearer {jwtToken}";

这个过程一直在正常工作，没有任何问题。

情况是，我们正在从使用手动维护的服务帐户密钥迁移到使用工作负载标识，我不知道如何正确使用Google Cloud SDK来生成必要的JWT令牌。

问题

当我们在容器中启用工作负载标识时，不装载服务帐户密钥文件，也不设置GOOGLE_应用程序_凭据env var，然后设置GoogleCredential。GetApplicationDefault（）调用返回一个ComputeCredential而不是ServiceAccountCredential
如果我们调用GetAccessTokenForRequestAsync（）方法，它将返回一个不是JWT格式的令牌。

我检查了实现，令牌似乎是从元数据服务器检索到的，其中预期的响应格式似乎是标准的OAuth 2.0模型（在此模型类中表示）：

{
  "access_token": "foo",
  "id_token": "bar",
  "token_type": "Bearer",
  ...
}

而GetAccessTokenForRequestAsync（）方法返回access\u token的值。但据我所知，这不是JWT令牌，事实上，当我尝试使用它对ESP进行身份验证时，它的响应是

{
 "code": 16,
 "message": "JWT validation failed: Bad JWT format: Invalid JSON in header",
 ..
}

据我所知，通常id_token包含JWT令牌，它应该可以通过Token响应对象的IdToken属性访问，也可以通过SDK访问，我尝试这样访问它：

var jwtToken = ((ComputeCredential)creds.UnderlyingCredential).Token.IdToken;

但这会返回null，因此元数据服务器显然不会返回id_令牌字段中的任何内容。

问题

使用JWT令牌的正确方式是什么。NET Google Cloud SDK，用于在GKE中使用工作负载标识时访问ESP？