Cloud Endpoints 不需要身份验证

Question

我已经使用 Google App Engine 构建了一个与 Web 客户端通信的自定义端点 API，并且我已经成功地使用 API Explorer 和 Web 客户端对其进行了测试。

现在我正在尝试通过这些instructions 使用web client ID 向云端点API 添加身份验证。我可以让身份验证工作，但无法让身份验证成为必需。

WEB_CLIENT_ID = # Some Client ID

@endpoints.api(name="AppApi", version="v1", allowed_client_ids=[WEB_CLIENT_ID], audiences=[WEB_CLIENT_ID], scopes=[endpoints.EMAIL_SCOPE])
class AppApi(remote.Service):

    @endpoints.method(TestRequestMessage, TestResponseMessage, name="test.get", path="test/get")
    def TestGet(self, request):
        response = TestResponseMessage()
        # Return a blank response message
        return response

我故意尝试在 allowed_client_ids 中排除 endpoints.API_EXPLORER_CLIENT_ID，因为我想确保它对于未通过 API Explorer 进行身份验证的请求会失败。

不过，当我转到 API 资源管理器时，我可以在没有身份验证的情况下发出成功的请求。当我使用 API 资源管理器打开身份验证时，它会要求我启用电子邮件身份验证，这样就可以了，但它不需要对调用进行身份验证。

如何让 Google Cloud Endpoints API 要求每次调用都进行身份验证？

我也没有使用 API 做任何用户特定的工作，所以我只是尝试使用 Web 客户端凭据来使用 Web 客户端身份验证，以便它是 Web 客户端请求信息。没有用户登录。

Answer 1

在处理端点时需要考虑两个身份验证层：

• 客户端 ID 层，它管理从哪里可以调用 API 的哪些代码，以及哪些客户端 ID/秘密。你可以阅读这个here。

• 用户身份验证层，它管理 OAuth2.0 For Login/OpenID Connect（相同的事情）过程，其中用户将https://www.googleapis.com/auth/userinfo.email 范围授予应用程序，并且应用程序发送一个承载令牌以及每个API 请求，以便端点服务器可以使用该令牌来获取代表其发出请求的用户的个人资料信息。您可以在文档 (java/python) 中阅读有关端点的用户身份验证层的更多信息

如果我理解您的帖子，您的问题与以下事实有关：即使 API Explorer 的客户端 ID 不在允许的 ID 列表中，您也可以发出 API Explorer 请求。这是一个已知问题，我相信在public issue tracker 中已经提到过，因此正在处理中，可能具有很高的优先级。

至少，知道这不是您自己的错误造成的，应该让您放心并继续开发，知道它会很快得到修复，并且不会对安全构成风险，因为只有您可以访问自己项目的 API Explorer。

Answer 2

Cloud Endpoints 不会自行自动启用身份验证。通过注释，您已标记 API 方法以进行安全访问。

每次调用你必须做的是检查用户对象并确定是否：

• 这是一个有效的用户
• 为用户进行自己的授权检查

如果它不满足您的身份验证和授权要求，您应该有适当的逻辑来返回正确的 HTTP 错误代码或其他一些数据（如果是匿名访问）。

在说明中，这具体为第 3 点：“为您希望保护的每个方法添加当前用户检查 (endpoints.get_current_user)。”