Как получить кратковременный доступ к определенному сегменту Google Cloud Storage из клиентского мобильного приложения?

Question

У меня есть мобильное приложение, которое аутентифицирует пользователей на моем сервере.Я хотел бы хранить изображения аутентифицированных пользователей в корзине Google Cloud Storage, но я бы не хотел загружать изображения через мой сервер в корзину Google, они должны быть непосредственно загружены (или загружены) из корзины.(Я также не хочу отображать еще один логин Google для пользователей, чтобы предоставить доступ к их корзине)

Таким образом, мой лучший вариант сценария - когда пользователь проходит аутентификацию на моем сервере, мой сервер также генерирует токен недолгого доступав определенное хранилище Google с доступом для чтения и записи.

Я знаю, что учетные записи служб могут генерировать accessTokens, но я не смог найти никакой документации, если это хорошая практика - передать эти маркеры доступа с сервера на клиентское приложение иесли возможно ограничить область действия токена доступа конкретным сегментом.

Мне показалось, что документация по авторизации довольно запутанная, и я спрашиваю, какой будет наилучший подход для получения доступа к облачному хранилищу для моего случая?

Answer 1

Я думаю, что вы ищете подписанные URL-адреса.

Подписанный URL-адрес - это URL-адрес, который предоставляет ограниченные права и время для выполнения запроса.Подписанные URL-адреса содержат информацию об аутентификации в строке запроса, что позволяет пользователям без учетных данных выполнять определенные действия с ресурсом.

Здесь вы можете узнать о них больше в GCP. Здесь у вас есть объяснение того, как вы можете адаптировать их для вашей программы.