Аутентификация против IAP-защищенного ресурса с заголовком канала-носителя?

Question

Можно ли использовать заголовок Authorization: Bearer … для запроса через Identity Aware Proxy мое защищенное приложение? (Конечно, используя служебную учетную запись. Из-за пределов GCP.)

Я бы хотел , а не выполнить обмен токенов OID C, это поддерживается?

Если да, у кого-нибудь есть примеры?

Пока у меня есть следующее, но оно не работает:

iat = time.time()
exp = iat + 3600
payload = {'iss': account['client_email'],
           'sub': account['client_email'],
           'aud': '/projects/NNNNN/apps/XXXXXXX',
           'iat': iat,
           'exp': exp}
additional_headers = {'kid': account['private_key']}
signed_jwt = jwt.encode(payload, account['private_key'], headers=additional_headers,
                       algorithm='RS256')

signed_jwt = signed_jwt.decode('utf-8')

Это приводит к: Invalid IAP credentials: JWT signature is invalid.

Answer 1

это в настоящее время не поддерживается. IAP ожидает подпись, сгенерированную инфраструктурой учетных записей Google с использованием ее закрытого ключа, поэтому проверка подписи не проходит. Не могли бы вы рассказать мне больше о том, почему вы хотите избежать обмена токенами OID C? - Мэтью, Google IAP Engineering