Question

Я настроил простой, стандартный окружающий проект Google App Engine, который использует облачные конечные точки, выполнив шаги, описанные в этом руководстве:

https://cloud.google.com/endpoints/docs/frameworks/python/get-started-frameworks-python

Это прекрасно работает - я могу вызвать вызов curl для конечной точки эха и получить ожидаемый результат.

Однако я не могу успешно вызвать аутентифицированную конечную точку. Я выполняю следующие действия: https://cloud.google.com/endpoints/docs/frameworks/python/javascript-client и, хотя я могу успешно войти в систему, когда я отправляю свой образец аутентифицированного запроса, я получаю ответ 401 Несанкционированный HTTP.

Из лога на сервере я вижу:

Client ID is not allowed: <my client id>.apps.googleusercontent.com (/base/data/home/apps/m~bfg-data-analytics/20190106t144214.415219868228932029/lib/endpoints/users_id_token.py:508)

Пока я проверил:

Веб-приложение использует правильную версию конфигурации конечных точек облака.
Идентификатор клиента в конфигурации конечной точки (x-google-audiences) соответствует идентификатор клиента, который публикует веб-приложение javascript.

Есть идеи как это исправить?

s d · Answer 1 · 10 января 2019

Использование примера кода для установки конечной точки в: https://cloud.google.com/endpoints/docs/frameworks/python/create_api а также https://cloud.google.com/endpoints/docs/frameworks/python/service-account-authentication

И изменение кода Python для генерации токена из: https://github.com/GoogleCloudPlatform/python-docs-samples/tree/master/endpoints/getting-started/clients/service_to_service_google_id_token

У меня это работает.

Вот код конечной точки сервера:

import endpoints
from endpoints import message_types
from endpoints import messages
from endpoints import remote

class EchoRequest(messages.Message):
    message = messages.StringField(1)

class EchoResponse(messages.Message):
    """A proto Message that contains a simple string field."""
    message = messages.StringField(1)


ECHO_RESOURCE = endpoints.ResourceContainer(
    EchoRequest,
    n=messages.IntegerField(2, default=1))

@endpoints.api(
    name='echo',
    version='v1',
    issuers={'serviceAccount': endpoints.Issuer(
    'MY-PROJECT@appspot.gserviceaccount.com',
    'https://www.googleapis.com/robot/v1/metadata/x509/MY-PROJECT@appspot.gserviceaccount.com')},
    audiences={'serviceAccount': ['MY-PROJECT@appspot.gserviceaccount.com']})

class EchoApi(remote.Service):
    # Authenticated POST API
    # curl -H "Authorization: Bearer $token --request POST --header "Content-Type: applicationjson" --data '{"message":"echo"}' https://MY-PROJECT@appspot.com/_ah/api/echo/v1/echo?n=5
    @endpoints.method(
        # This method takes a ResourceContainer defined above.
        ECHO_RESOURCE,
        # This method returns an Echo message.
        EchoResponse,
        path='echo',
        http_method='POST',
        name='echo')
    def echo(self, request):
        print "getting current user"
        user = endpoints.get_current_user()
        print user
        # if user == none return 401 unauthorized
        if not user:
            raise endpoints.UnauthorizedException

        # Create an output message including the user's email
        output_message = ' '.join([request.message] * request.n) + ' ' + user.email()
        return EchoResponse(message=output_message)

api = endpoints.api_server([EchoApi])

И код для генерации действительного токена

    import base64
    import json
    import time
    import google

    import google.auth
    from google.auth import jwt

    def generate_token(audience, json_keyfile, client_id, service_account_email):
        signer = google.auth.crypt.RSASigner.from_service_account_file(json_keyfile)

        now = int(time.time())
        expires = now + 3600  # One hour in seconds

        payload = {
            'iat': now,
            'exp': expires,
            'aud' : audience,
            'iss': service_account_email,
            'sub': client_id,
            'email' : service_account_email
        }

        jwt = google.auth.jwt.encode(signer, payload)

        return jwt

token = generate_token(
    audience="MY-PROJECT@appspot.gserviceaccount.com",              # must match x-google-audiences
    json_keyfile="./key-file-for-service-account.json",
    client_id="xxxxxxxxxxxxxxxxxxxxx",                              # client_id from key file
    service_account_email="MY-PROJECT@appspot.gserviceaccount.com")

print token

Позвоните с помощью curl

export token=`python main.py` 
curl -H "Authorization: Bearer $token" --request POST --header "Content-Type: application/json" --data '{"message":"secure"}' https://MY-PROJECT.appspot.com/_ah/api/echo/v1/echo?n=5

Как сделать аутентифицированный звонок в Google Cloud Endpoint?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Как сделать аутентифицированный звонок в Google Cloud Endpoint?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы