Google AI Predict API：网站匿名身份验证

Question

阅读完这些问答后，

• google api machine learning can I use an API KEY?
• how to use google AI platform online predictions?
• How to authenticate GCP AI Platform Predictions using HTTP requests

我仍然不知道如何为不需要任何登录或 OAuth 屏幕的 AI Platform Predict API 启用简单身份验证。

我的场景如下：我们有一个静态网站，允许用户输入一些数据，网站（客户端）通过API将数据发送到模型进行预测，当结果回来时，网站显示他们给用户。我们不希望用户必须以任何方式登录或表明自己的身份。只需输入一些数据，按下按钮，即可获得结果。

但是，就我所能搜索的而言，没有办法这样做（在我看来，关于身份验证的文档令人困惑，有多个重叠的文章，很难确定适用于特定案子）;您必须使用某种 OAuth 让用户使用 Google 帐户登录。

真的没有办法让网站本身经过身份验证，而不是对个人用户进行身份验证吗？例如。使用 API 密钥或服务帐户密钥？

如果 OAuth 是唯一的方法，这是否意味着想要使用该网站的用户必须拥有 Google 帐户？以及如何启用它：我应该创建一个 OAuth 客户端 ID，还是它是 OAuth 同意屏幕？

Answer 1

这里推荐的做法是所有 OAuth 都应该发生在服务器端，其中 GCP 服务帐户 JSON 密钥存储在某个后端服务器上。

我将通过假设您的网站托管在 App Engine 上来回答您的问题，但您的网站可以托管在其他 GCP 产品上的任何位置，例如 Cloud Run 或任何其他托管服务提供商。

• 在后端网络服务器中，您可以使用 Service Account JSON 发出 AI Platform 预测请求，然后您需要配置您的网站以与此后端通信。

Website ----HTTP Request to App Engine URL------> App Engine (code---)--------> AI Platform

因此，App Engine 后端代表网站客户端执行身份验证，正如 Lak 澄清的 here；由于请求将传递您的 GCP 服务帐户 JSON 密钥，因此它们有权将特定的 HTTP 请求发送到其后端服务器，从而进行 AI Platform 调用。

在您的情况下，您不希望用户访问您的 Google 数据，您只需向他们提供对您自己的 AI Platform 模型的访问权限。

基本上，您可以在服务器端使用客户端库，它会自动为您执行 OAuth，只要将环境变量设置为服务帐户密钥。

注意：您仅在您想要访问某人的 Google 资源（例如 Google Doc、Calendar、GCP 项目等）时才需要执行 Google OAuth