Я создал небольшое nodejs express приложение с двумя маршрутами:
GET / mypublicurl
GET / myprivateurl
, и оно работает на GKE. Я запускаю его через облачные конечные точки. Для аутентификации я использую Auth0, а также это Учебник от Google. Итак, мой openapi.yaml выглядит так:
...
paths:
"/mypublicurl":
get:
description: "See Hello world"
responses:
200:
description: "Hello World"
"/myprivateurl":
get:
description: "See Hello world secure"
responses:
200:
description: "Hello World"
401:
description: "No Auth"
security:
- auth0_jwt: []
securityDefinitions:
auth0_jwt:
authorizationUrl: ...
flow: "implicit"
type: "oauth2"
x-google-issuer: ...
x-google-jwks_uri: ...
x-google-audiences: ...
Когда я пробую оба маршрута, я могу использовать оба без заголовка авторизации.
Также, когда я ставлю токен на предъявителя в качестве заголовка аутентификации, конечно, он все еще работает. Должен ли я самостоятельно проверять токен JWT в своем бэкэнде для каждого маршрута или облачные конечные точки могут это сделать, и я просто что-то не так делаю?