HTTP-запросы от Google Compute Engine для Appengine Standard - PullRequest
Новая
       19

HTTP-запросы от Google Compute Engine для Appengine Standard

0 голосов
/ 31 мая 2018

Можно ли отправлять безопасные HTTP-запросы от Google Compute Engine GCE к Google AppEngine GAE, не используя учетные записи служб и не включая службу конечных точек (прокси) в службе GAE?Большинству наших внутренних обработчиков HTTP не нужен включенный прокси-сервер службы конечных точек, поскольку все запросы являются внутренними, а не общедоступными.Наш общедоступный API-интерфейс использует службу конечных точек механизма вычислений .. 

handlers:
- url: /securehandler/.*
  script: main.app
  login: admin

https://cloud.google.com/appengine/docs/standard/go/config/appref#handlers_element

"Примечание: ограничение входа администратора также выполняется для внутренних запросов, для которых App Engine устанавливает соответствующий X-Создайте специальные заголовки. Например, запланированные задачи cron удовлетворяют ограничению администратора, поскольку App Engine устанавливает HTTP-заголовок X-AppEngine-Cron: true для соответствующих запросов. Однако запросы не удовлетворяют требуемому ограничению входа в систему, поскольку запланированные задачи cronне запускаются от имени любого другого пользователя. "

https://cloud.google.com/appengine/docs/standard/go/appidentity/

" Подтверждение идентичности другим приложениям App Engine

Если вы хотите определить личность приложения App Engine,отправляет запрос в приложение App Engine, вы можете использовать заголовок запроса X-Appengine-Inbound-Appid. Этот заголовок добавляется к запросу службой URLFetch и не может быть изменен пользователем, поэтому он безопасно указывает идентификатор запрашивающего приложения,если присутствует.

В обработчике приложения вы можете проверить входящийID, прочитав заголовок X-Appengine-Inbound-Appid и сравнив его со списком идентификаторов, которым разрешено делать запросы. "

Очевидно, что при создании заголовков X-AppEngine и X-Appengine-Inbound-Appid не заданоHTTP-запросы с клиентом Go в GCE.

Редактировать:

  • url: /securehandler/.* скрипт: _go_app логин: требуется безопасный: всегда

Будет ли учетная запись службы по умолчанию аутентифицироваться, если логинустановить на обязательный?

1 Ответ

0 голосов
/ 05 июня 2018

Если вы сделаете HTTP-запрос от GCE, он не будет включать никаких учетных данных, поэтому не будет отображаться при входе в систему.GAE не предоставляет механизм для вызовов API для входа в систему: требуется.

GAE обеспечивает аутентификацию как часть облачных конечных точек .Вы можете использовать это для аутентификации запросов от GCE.

...