GCP API Gateway JWT 总是返回 403

【问题标题】:GCP API Gateway JWT always returning 403GCP API Gateway JWT 总是返回 403
【发布时间】:2021-06-27 22:00:59
【问题描述】:

我正在使用 gcp api 网关进行 JWT 身份验证。从我的身份验证服务生成令牌然后将其放入邮递员后,无论我在令牌的“aud”部分中放入什么,我总是会收到此响应:

这是我打开的 api 文件:

# openapi2-run.yaml
swagger: '2.0'
info:
  title: my-gateway-id
  description: Sample API on API Gateway with a Cloud Run backend
  version: 1.0.0
schemes:
  - https
produces:
  - application/json
x-google-backend:
  address: https://my-cloud-run.a.run.app
  jwt_audience: https://my-cloud-run.a.run.app
securityDefinitions:
  jwt_auth:
    authorizationUrl: ''
    flow: 'implicit'
    type: 'oauth2'
    x-google-issuer: 'id-admin@my-project.iam.gserviceaccount.com'
    x-google-jwks_uri: 'https://www.googleapis.com/service_accounts/v1/metadata/x509/id-admin@my-project.iam.gserviceaccount.com'
paths:
  /:
    post:
      security:
        - jwt_auth: []
      summary: GraphQL endpoint
      operationId: gql
      responses:
        '200':
          description: A successful response
          schema:
            type: object

我一遍又一遍地查看文档,但看不到发生了什么?提前致谢。

【问题讨论】:

    标签: google-cloud-platform jwt swagger api-gateway


    【解决方案1】:

    您得到 403,因为您生成的 JWT 令牌上的 aud 在 API 配置的 securityDefinitions 上找不到。

    要允许其他客户端 ID 访问后端服务,您可以使用逗号分隔值在 x-google-audiences 字段中指定允许的客户端 ID。 API Gateway 然后接受具有 aud 声明中任何指定客户端 ID 的 JWT。

    转到 here 并粘贴您的令牌以查看您的 JWT“aud”声明。如果您使用 gcloud auth 生成 ID 令牌,则 aud 很可能是像 1234567890.apps.googleusercontent.com 这样的客户端 ID。但是,如果您使用自己的服务生成令牌,那么它将取决于您指定的目标受众。

    要解决此问题,请在 securityDefinitions 部分添加 x-google-audiences 字段,该值应与您的 JWT“aud”声明相匹配。

    假设您的 JWT 令牌上的 aud 是 Cloud Run 服务端点,那么您的 API 配置应如下所示。随时查看documentation 作为附加参考:

    x-google-backend:
  address: https://my-cloud-run.a.run.app 
securityDefinitions:
  jwt_auth:
    authorizationUrl: ''
    flow: 'implicit'
    type: 'oauth2'
    x-google-issuer: 'id-admin@my-project.iam.gserviceaccount.com'
    x-google-jwks_uri: 'https://www.googleapis.com/service_accounts/v1/metadata/x509/id-admin@my-project.iam.gserviceaccount.com'
    x-google-audiences: 'https://my-cloud-run.a.run.app'

    如果您有multiple 观众,那么它应该是一个用逗号分隔的字符串。观众之间不允许有空格。

    【讨论】:

      猜你喜欢
      • 2019-08-24
      • 2014-12-12
      • 2023-02-24
      • 2017-09-28
      • 2017-05-15
      • 2017-09-27
      • 2015-12-23
      • 2018-08-15
      • 2020-08-28
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode