Мне любопытно, какова "лучшая практика" для аутентификации на основе restful-api, защищенного Google IAP.
Позвольте мне разбить его шаг за шагом, чтобы объяснить, что я пытаюсьдостигнуть:
- Перейти к URL моей среды разработки:
dev.blah.com
.Здесь IAP предлагает войти в систему.Я вхожу в систему. Теперь у меня есть доступ к моему SPA. - Я просматриваю свой SPA.Но!Я не могу общаться с моим API, потому что он ТАКЖЕ защищен IAP.
Я читал, что могу выполнять программную аутентификацию в документации , но яне уверен, подходит ли мой конкретный вариант использования для программной аутентификации или даже будет БЕЗОПАСНЫМ.
Итак, я прав в том, что мне придется реализовать рабочий процесс программной аутентификации на стороне клиента, чтобы получить доступмой API?
Или есть альтернативный способ сказать: «После того как я авторизован для доступа к Этому ресурсу, защищенному IAP, я могу также войти в эти другие ресурсы».Я не могу просто скопировать токен, потому что это http-only
, а файл cookie ограничен моим текущим доменом.
Некоторая дополнительная информация:
- Мои службы работают в Google Kubernetes Engineкластера и автоматически создали балансировщики нагрузки на основе входящих объектов, которые я объявляю.
- Каждая среда, защищенная IAP, получает свои собственные учетные данные OAuth, и я настраиваю балансировщики нагрузки для использования IAP с помощью:
gcloud compute backend-services update [backend-service] --global --iap=enabled,oauth2-client-id=[the_id],oauth2-client-secret=[the_secret]