Облачный IAP и трехногий OAuth

Question

При условии следующего сценария:

User <> Cloud IAP <> App Engine App <> Google APIs

Как App Engine App может получить доступ к Google APIs от имени аутентифицированного пользователя?(т.е. без использования учетной записи службы App Engine App)

Cloud IAP передает токен JWT в App Engine App, но я не смог использовать его для доступа к Google APIs ресурсам (например, профилю пользователя).

Я не смог найти соответствующую документацию для этого сценария.

Answer 1

Приложения не могут автоматически вызывать API-интерфейсы от имени своих пользователей, даже если они находятся за облачной IAP.Облачный IAP существует для управления доступом к приложениям, а не для предоставления разрешений для приложений.

Чтобы приложения могли действовать от имени пользователей, приложение должно будет поток веб-сервера OAuth2.0 ,Обычно вы будете использовать предоставленную Google библиотеку oauth2 для выполнения этого потока ( python , java , и т. Д. ), а затем передаете эти учетные данные в используемую вами клиентскую библиотеку.сделать фактический вызов API.