我在 GCP Cloud Run 上部署了两个服务 (API)。称它们为 service-one.myDomain.com
和 service-two.myDomain.com
。我希望在调用 service-2 时对 service-one 进行身份验证,而不管任何用户在做什么。
我已经阅读并实现了 GCP Cloud Run 文档中关于 Authenticating service-to-service ( https://cloud.google.com/run/docs/authenticating/service-to-service ) 的说明,但 service-one.myDomain.com
未能成功调用 service-two.myDomain.com
接收 401:Unauthorized 响应。
关于如何让 service-one
成功调用 service-two
的任何想法?
这是我的设置:
IAM 和服务帐户:
在 google IAM 上,我创建了两个服务帐户并授予它们“Cloud Run Invoker”( roles/run.invoker
) 角色:service-one@myproject.iam.gserviceaccount.com
service-two@myproject.iam.gserviceaccount.com
在 Cloud Run 中,我将服务帐户从“默认计算服务帐户”更改为我创建的服务帐户。我为 service-one@myproject.iam.gserviceaccount.com
分配了 service-one.myDomain.com
,为 service-two@myproject.iam.gserviceaccount.com
分配了 service-two.myDomain.com
OIDC 身份验证 token :
在 service-one.myDomain.com
中,我调用元数据服务器以从以下 url 获取 token (jwt):http://metadata/computeMetadata/v1/instance/service-accounts/default/identity?audience=https://service-two.myDomain.com
请求头设置为 {'Metadata-Flavor': 'Google'}
请求成功,我收到的 token 被解码为具有以下有效负载:
{
"alg": "RS256",
"kid": "9cef5340642b157fa8a4f0d874fe7543872d82db",
"typ": "JWT"
}
{
"aud": "https://service-two.mydomain.com",
"azp": "100959068407876085761",
"email": "service-one@myproject.iam.gserviceaccount.com",
"email_verified": true,
"exp": 1572806540,
"iat": 1572802940,
"iss": "https://accounts.google.com",
"sub": "100953168404568085761"
}
Http请求:使用 token ,我从
service-one.myDomain.com
向 service-two.myDomain.com
上的 http 端点发出请求。我使用 {'Authorization': 'Bearer {token}'}
设置请求 header ({token}
是 token 的值)。Http响应:
响应是 401 Unauthorized,我的日志显示响应 header 包括:
{'WWW-Authenticate': 'Bearer error="invalid_token" error_description="The access token could not be verified"'}
内容如下:"
<html><head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<title>401 Unauthorized</title>
</head>
<body text=#000000 bgcolor=#ffffff>
<h1>Error: Unauthorized</h1>
<h2>Your client does not have permission to the requested URL <code>/health</code>.</h2>
<h2></h2>
</body></html>
"
我很难过......关于我缺少什么让 service-one
对 service-two
进行身份验证的任何想法?
最佳答案
答案是使用 gcp cloud run 生成的 Url 作为 OIDC token 请求中的受众。以及相关的 jwt 中的“aud”字段。
我的发现是云运行中的服务到服务身份验证不支持自定义域 (myDomain.com)。我正在使用我的自定义域。
(我觉得自己像个傻瓜)谢谢@guillaumeblaquiere
关于google-cloud-platform - Google Cloud Run 身份验证服务到服务,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/58683365/