堆栈内存溢出
  繁体   English   中英

匿名调用者没有storage.objects.create访问权限,但我的JWT具有范围https://www.googleapis.com/auth/devstorage.full_control

[英]Anonymous caller does not have storage.objects.create access but my JWT has scope https://www.googleapis.com/auth/devstorage.full_control

 原文  2019-04-23 07:40:50       google-cloud-platform/ google-cloud-storage

问题描述

我正在遵循服务器到服务器OAuth2流的文档 (创建自己的JWT而不是使用库)。

我已经创建了具有正确权限的服务帐户,可以上传到我的存储桶。 我顺利拿到由的access_token https://www.googleapis.com/oauth2/v4/token与范围https://www.googleapis.com/auth/devstorage.full_control在文档和使用我的服务帐户的电子邮件描述。

当我按照所述在我的POST请求上将access_token添加为标头时,出现以下错误消息: 

{
 "error": {
  "errors": [
   {
    "domain": "global",
    "reason": "required",
    "message": "Anonymous caller does not have storage.objects.create access to bucket/object.",
    "locationType": "header",
    "location": "Authorization"
   }
  ],
  "code": 401,
  "message": "Anonymous caller does not have storage.objects.create access to bucket/object."
 }
}

这是我的JWT结构: 

$googleJson = json_decode(file_get_contents('/app/config/jwt/google.json'), true);
        $time = time();
        $headers = [
            'alg' => 'RS256',
            'typ' => 'JWT'
        ];
        $payload = [
            'iss' => $googleJson['client_email'],
            'scope' => 'https://www.googleapis.com/auth/devstorage.full_control'
            'aud' => 'https://www.googleapis.com/oauth2/v4/token',
            'exp' => $time + 120,
            'iat' => $time
        ];
        $jwt = JWTService::create($headers, $payload, $googleJson['private_key']);
        return http_build_query([
            'grant_type' => 'urn:ietf:params:oauth:grant-type:jwt-bearer',
            'assertion' => $jwt
        ]);

我在这里想念什么? 显然,这个access_token应该可以验证我的请求,但是将请求标记为Anonymous caller的错误消息使我怀疑我根本没有经过验证。

这是我用来创建JWT的功能: 

public static function create(array $headers, array $payload, string $privateKey): string
    {
        $headers = json_encode($headers);
        $payload = json_encode($payload);

        $base64UrlHeader = str_replace(['+', '/', '='], ['-', '_', ''], base64_encode($headers));
        $base64UrlPayload = str_replace(['+', '/', '='], ['-', '_', ''], base64_encode($payload));

        openssl_sign($base64UrlHeader . '.' . $base64UrlPayload, $signature, $privateKey, 'sha256');

        $base64UrlSignature = str_replace(['+', '/', '='], ['-', '_', ''], base64_encode($signature));

        return $base64UrlHeader . '.' . $base64UrlPayload . '.' . $base64UrlSignature;
    }

更新:当我将访问令牌作为与&access_token=<access_token>之类的查询参数一起使用时&access_token=<access_token>它可以工作,因此由于某种原因,访问令牌不能用作标题,并且我不知道为什么

Update2:我将标头设置为键值数组,例如 

[
   Authorization => Bearer <token>
]

糟糕,抱歉

1 个解决方案

解决方案1
 1 已采纳  2019-04-24 07:41:35

我将标题设置为键值数组,例如 

[
   Authorization => Bearer <token>
]

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 https://www.googleapis.com/auth/devstorage.read_write范围的等效IAM角色是什么? Google Cloud StorageException:匿名调用者没有 storage.objects.create 访问 Google Cloud Storage object 在数据流上运行 wordcount 时,获取匿名调用者没有 storage.objects.create 访问错误 请求 https://www.googleapis.com/discovery/v1/apis/gmail/v1/rest 时 HttpError 403 返回“调用者没有权限” 节点没有 storage.objects.create StorageException:匿名调用者没有 storage.objects.get 访问权限 匿名调用者没有 storage.objects.get 访问 Google 云存储 object GoogleStorageException - 401 Unauthorized / Anonymous caller 没有 storage.objects.list 访问 Google Cloud Storage 存储桶的权限 如何处理匿名调用者没有 storage.objects.get 访问 Google Cloud Storage object 来自 https://www.googleapis.com/oauth2/v4/token 的意外响应。 不给“access_token”,只给“id_token”
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM