В нашей организации мы используем Google Kubernetes Engine (GKE) для реализации архитектуры микросервисов. Поскольку мы также являемся пользователями G-Suite, каждому в организации гарантированно предоставляется аккаунт Google. Следовательно, мы хотели бы использовать эти учетные записи для управления аутентификацией и авторизацией микро сервисов.
У нас есть прототип входа в систему с использованием клиента angularfire2 для аутентификации на Google Identity Platform. У нас также настроены конечные точки Google Cloud для контроля доступа к соответствующим службам.
Мы упускаем часть того, как перейти от удостоверения в Google к токену доступа, который мы можем использовать в наших сервисах - к токену доступа, возвращающемуся с помощью Firebase API, претензий нет, и документация по пользовательским утверждениям , кажется, ясно дает понять, что они входят в маркер идентификации.
Я ожидаю, что у JWT будет соответствующая аудитория (наша бэкэнд), содержащая достаточный набор заявок для реализации контроля доступа на основе ролей в сервисах. В идеале инфраструктура могла бы уже подтвердить претензию - некоторые из наших сервисов достаточно малы, чтобы требовать только одну роль, которую можно было бы применить за пределами сервиса. Или мы можем аннотировать наши конечные точки (Protobuf) требуемыми утверждениями.
Каков стандартный процесс создания маркеров доступа, который будет использоваться для доступа к службам GKE, в среде GCP? Есть ли что-нибудь, что поддерживает это?