使用服务帐户的 GCP 服务器到服务器身份验证
[英]GCP Server to Server Authentication with Service Account
原文
2021-01-23 07:32:39
8
1
google-app-engine/
google-cloud-platform/
oauth-2.0/
google-cloud-functions/
google-oauth
问题描述
我正在尝试验证从我的 Google Cloud Function 到我在 App Engine(标准环境)上的 API 的请求。
我有一些工作,但我是 OAuth2 的新手,正在寻找健全性检查。
在我的云 Function 中,我向我的 API 发送经过身份验证的请求,执行以下操作:
import { GoogleAuth } from 'google-auth-library';
// Send Request Code:
const auth = new GoogleAuth();
const tokenClient = await auth.getIdTokenClient(`/protectedEndpoint`);
await tokenClient.request({
url: `https://${process.env.GCLOUD_PROJECT}.appspot.com/protectedEndpoint`,
method: 'POST',
});
在 API(在 App Engine 上)中,我执行以下操作:
import { GoogleAuth } from 'google-auth-library';
// Handle Request Code:
const token = <Bearer token parsed from request headers>
const googleAuth = new GoogleAuth();
const tokenClient = await googleAuth.getIdTokenClient('');
const loginTicket = await tokenClient.verifyIdToken({
idToken: token,
audience: '/protectedEndpoint',
});
if (loginTicket.getUserId() !== process.env.SERVICE_ACCOUNT_ID)) {
throw new Error('Unauthenticated Service Account');
}
return 'Successful Authentication'
注意:在这两种情况下,我都使用 Google 的默认应用程序凭据来初始化 GoogleAuth 客户端。 (我的默认 App Engine 服务帐户)
这一切都有效。 我的 function 向我的 API 发送了一个请求,我的 API 能够解析承载令牌并告诉我它来自我批准的服务帐户,但我有 100% 的信心认为这不是安全的。 有人可以在没有凭据的情况下欺骗我的服务帐户吗?
提前致谢!
1 个解决方案
解决方案1
1 已采纳 2021-01-23 09:11:18
有人可以在没有凭据的情况下欺骗我的服务帐户吗?
准确的答案需要指定时间。 只要有足够的时间和处理能力,任何身份验证/授权/加密/散列/签名方法都可以被破解。
Google 服务帐户包含一个 RSA 2048 位私钥。 目前的猜测是 300 万亿年才能破解 RSA 2048 位加密。 随着计算机的快速发展,我们假设您的数据在 RSA 被破坏时可能没有任何用途/价值。
私钥用于签署 JWT。 签名的 JWT 用于请求 OAuth 访问/身份令牌。
欺骗将需要使用相同的私钥进行签名。 因此,用当今的技术进行欺骗是不可能的。
窃取/泄露私钥或生成的 OAuth 令牌是当今唯一现实的方法。
Google Cloud Platform (GCP):如何为服务帐户提供额外的角色?
[英]Google Cloud Platform (GCP): How to give additional roles to service account?
从服务帐户进行身份验证时访问 IAP 资源时出错 - 502 服务器错误
[英]Error accessing a IAP resources when authenticating from a service account - 502 server error
如何在 Google App Engine 和本地开发服务器中使用带有私钥文件和模拟用户 (DWD) 的服务帐户?
[英]How to use service account with private key file and impersonated user (DWD) in Google App Engine and local development server?
如何更改我的GCP GAE Flex服务运行的服务帐户?
[英]How can I change the Service Account that my GCP GAE Flex Service is running as?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
GCP:使用 Terraform 从服务帐户中删除 IAM 策略
Google Cloud Platform (GCP):如何为服务帐户提供额外的角色?
Google Cloud身份验证:创建服务帐户密钥
Google OAuth 2.0服务帐户身份验证
500 内部服务器错误 - GCP App Engine
将 GTM 服务器容器与 GCP 链接(AppEngine)
从服务帐户进行身份验证时访问 IAP 资源时出错 - 502 服务器错误
如何在 Google App Engine 和本地开发服务器中使用带有私钥文件和模拟用户 (DWD) 的服务帐户?
如何更改我的GCP GAE Flex服务运行的服务帐户?
验证服务器端的Gmail帐户
相关标签