当前位置: > > > > Cloud Run 中使用默认凭据的域范围委派
来源:stackoverflow
2024-04-21 14:51:35
0浏览
收藏
一分耕耘,一分收获!既然打开了这篇文章《Cloud Run 中使用默认凭据的域范围委派》,就坚持看下去吧!文中内容包含等等知识点…希望你能在阅读本文后,能真真实实学到知识或者帮你解决心中的疑惑,也欢迎大佬或者新人朋友们多留言评论,多给建议!谢谢!
问题内容
在golang中,我想使用cloud run提供的默认服务帐户凭据来创建委派凭据(域范围委派),特别是作为用户调用drive api。当从 json 文件获取凭证时,我可以使用此功能,但在 cloud run 提供凭证时则无法使用。我在 python 中遇到了同样的问题,并按照此示例解决了它,但不知道如何在 go 中执行此操作。
代码示例(gin 处理程序)在从 json 文件(具有域范围委托的服务帐户密钥)加载时有效,但在从 cloud run 派生凭证时无效:
email := "[email protected]"
params := google.CredentialsParams{
Scopes: []string{"https://www.googleapis.com/auth/drive.readonly"},
Subject: email}
creds, credErr := google.FindDefaultCredentialsWithParams(c, params)
if credErr != nil {
msg := fmt.Sprintf("Unable to create credentials as %v: %v", email, credErr)
fmt.Println(msg)
c.String(http.StatusInternalServerError, msg)
return
}
// CREATE DRIVE SERVICE
client := oauth2.NewClient(c, creds.TokenSource)
driveService, driveErr := drive.NewService(c, option.WithHTTPClient(client))
if driveErr != nil {
msg := fmt.Sprintf("Unable to retrieve Drive client: %v", driveErr)
fmt.Println(msg)
c.String(http.StatusInternalServerError, msg)
return
}
// List Files
r, listErr := driveService.Files.List().PageSize(10).Do()
if listErr != nil {
log.Fatal(listErr)
}
fmt.Printf("Received %v files\n", len(r.Files))
for _, i := range r.Files {
fmt.Println(i.Name)
}
c.String(http.StatusOK, "Ok")
return
当我从 json 文件运行此文件时,它会列出 [email protected] 中的十个文件名。当我在 cloud run 中运行此命令(不包括容器中的 json 文件)时,它找不到任何文件,我相信这是因为凭据不是用户凭据,而是无法访问任何文件的服务帐户凭据。
正确答案
要在没有服务帐户密钥的情况下使用域范围委派,您必须:
- 用于冒充用户
- 对配置为域范围委托的服务帐号调用 以签署断言
- 将签名断言与访问令牌交换
和 有更多详细信息。
以上就是本文的全部内容了,是否有顺利帮助你解决问题?若是能给你带来学习上的帮助,请大家多多支持!更多关于Golang的相关知识,也可关注公众号。
