首页 > Golang > Go问答

使用尚未生成的服务帐户密钥进行 GCP 身份验证的方法

来源：stackoverflow

时间：2024-02-08 10:58:14 255浏览收藏

一分耕耘，一分收获！既然都打开这篇《使用尚未生成的服务帐户密钥进行 GCP 身份验证的方法》，就坚持看下去，学下去吧！本文主要会给大家讲到等等知识点，如果大家对本文有好的建议或者看到有不足之处，非常欢迎大家积极提出！在后续文章我会继续更新Golang相关的内容，希望对大家都有所帮助！

问题内容

我正在编写一项服务，需要不同租户访问 GCP 服务。我的微服务将在不同的主机上运行（无 GCP）。我面临的限制之一是使用服务帐户密钥授权 api 调用。第二个约束是我的微服务负责为服务帐户生成密钥对并与租户共享公钥，以便他们可以将其上传到他们的服务帐户。

我当前的问题是，我找不到任何文档来解释如何使用我拥有的密钥对对 GCP golang 库进行身份验证。我读过的所有文档始终解决服务帐户密钥身份验证问题，假设您将让 GCP 为您生成密钥对，并且您已经拥有包含所需所有详细信息的 json 文件。

我审阅过的文档：

- https://cloud.google.com/docs/authentication/client-libraries#adc
- https://cloud.google.com/docs/authentication#service-accounts
- https://cloud.google.com/docs/authentication/provide-credentials-adc#local-key
- https://github.com/GoogleCloudPlatform/golang-samples/blob/main/auth/id_token_from_service_account.go

Google 图书馆使用一种名为“应用程序默认凭据”的机制，可让其所有图书馆找到用于身份验证的凭据。具体来说，在这种情况下，ADC 始终需要 json 文件才能获取凭据的详细信息。

json 文件如下所示：

{
    "type": "service_account",
    "project_id": "my-project",
    "private_key_id": "1ed3aae07f98f3e6da78ad308b41232133d006cf",
    "private_key": "-----BEGIN PRIVATE KEY-----\n...==\n-----END PRIVATE KEY-----\n",
    "client_email": "",
    "client_id": "1234567890102",
    "auth_uri": "",
    "token_uri": "",
    "auth_provider_x509_cert_url": "",
    "client_x509_cert_url": "",
    "universe_domain": "googleapis.com"
}

所以我的问题是，如何从生成的密钥对构建这个 json 文件？如果这是不可能的（GCP 限制），那么为什么我能够上传密钥对？有没有人可以指出我的例子来帮助我解决这种情况？

非常感谢任何帮助

我已经查看了所有 GCP 官方文档、API 参考和 Github 脚本示例。它们都没有引用上传的服务帐户密钥

正确答案

花了一些时间才回到这个问题。感谢 @guillaume-blaquiere 的回答，我开始使用最少的所需文件进行测试。

最后想出了这个：

{
  "type": "service_account",
  "private_key": "",
  "client_email": "",
}

这些是 Google SDK 成功通过 GCP 身份验证所需的最低属性

私钥必须是用于生成上传到 GCP 服务帐号的公钥的私钥。

就golang代码而言，可以将这些信息放入一个结构体中，然后将该结构体解析为json：

type JSONFile struct {
  Type     string `json:"type"`
  PrivKey  []byte `json:"private_key"`
  Email    string `json:"client_email"`
}

然后：

file := JSONFile{
    Type:        "service_account",
    PrivKey:  "",
    Email: "[email protected]",
}
result, err := json.Marshal(file)
if err != nil {
    panic(1)
}
credentials, err := google.CredentialsFromJSON(context.Background(), result, secretmanager.DefaultAuthScopes()...)
if err != nil {
    panic(1)
}
projectsClient, err := resourcemanager.NewProjectsClient(context.Background(), option.WithCredentials(credentials))

以上就是本文的全部内容了，是否有顺利帮助你解决问题？若是能给你带来学习上的帮助，请大家多多支持golang学习网！更多关于Golang的相关知识，也可关注golang学习网公众号。

声明：本文转载于：stackoverflow 如有侵犯，请联系study_golang@163.com删除