在 Golang 中验证客户端对 Cloud Function 的请求，并使用服务帐户

IT行业相对于一般传统行业，发展更新速度更快，一旦停止了学习，很快就会被行业所淘汰。所以我们需要踏踏实实的不断学习，精进自己的技术，尤其是初学者。今天golang学习网给大家整理了《在 Golang 中验证客户端对 Cloud Function 的请求，并使用服务帐户》，聊聊，我们一起来看看吧！

我将自己的云函数部署到了 gcp。在云功能上，我启用了使用google服务帐户进行身份验证。我需要编写一段g​​olang代码来调用这个云函数。我已经使用 nodejs 完成了相同的目的，但无法使 golang 工作。

这是我的 nodejs 代码（工作）：

const {googleauth} = require('google-auth-library');

const targetaudience = "cloud-function-url"

async function run() {
    const auth = new googleauth();

    const client = await auth.getidtokenclient(targetaudience);
    const res = await client.request({ url });
    console.info(res.data);
}

我的 golang 代码：

import  "golang.org/x/oauth2/google"
func gettoken() (err error) {
    scope := "https://www.googleapis.com/auth/cloud-platform"
    client, err := google.defaultclient(context.background(), scope)
    if err != nil {
        return
    }
    res, err := client.get("cloud-function-url")
    if err != nil {
        return
    }
    fmt.println(res)
    return
}

我也尝试自定义代码来添加targetaudience，但它也不起作用

baseUrl := "your-cloudfunction-baseurl"
ctx := context.Background()
targetAudience := baseUrl
credentials, err := google.FindDefaultCredentials(ctx)
if err != nil {
    fmt.Printf("cannot get credentials: %v", err)
    os.Exit(1)
}

tokenSrc, err := google.JWTAccessTokenSourceFromJSON(credentials.JSON, targetAudience)
if err != nil {
    fmt.Printf("cannot create jwt source: %v", err)
    os.Exit(1)
}

client := oauth2.NewClient(context.Background(), tokenSrc)
if err != nil {
    return
}
res, err := client.Get(baseUrl + "sub-url")
if err != nil {
    return
}

我已检查并确保我的服务帐户已正确加载。在上述两种情况下，我收到 401“无法验证访问令牌”

解决方案

深入研究 Google's Oauth Protocol 和 OAuth2 之后，我发现 golang 中的库并不完全遵循 google 的 oauth2 协议。

• google 规范中的流程：在 http 客户端中生成并签署 jwt（使用服务帐户） --> 发送到 google 的服务器 --> 获取新的签名 jwt --> 将新令牌用于其他请求
• golang lib：生成并签署 jwt --> 使用此令牌进行其他请求

令人惊讶的是，nodejs 库能够正确处理流程，而 golang 库却不能。我把我的调查总结到了blog post。

对于那些想要简短答案的人，这是我的实现（我将一些部分移至公共存储库中）：

import (
    "context"
    "fmt"
    "io/ioutil"
    "os"

    "github.com/CodeLinkIO/go-cloudfunction-auth/cloudfunction"

    "golang.org/x/oauth2/google"
)

func main() {
    baseUrl := "your-cloudfunction-baseurl"
    ctx := context.Background()
    targetAudience := baseUrl
    credentials, err := google.FindDefaultCredentials(ctx)
    if err != nil {
        fmt.Printf("cannot get credentials: %v", err)
        os.Exit(1)
    }

    jwtSource, err := cloudfunction.JWTAccessTokenSourceFromJSON(credentials.JSON, targetAudience)
    if err != nil {
        fmt.Printf("cannot create jwt source: %v", err)
        os.Exit(1)
    }

    client := cloudfunction.NewClient(jwtSource)
    res, err := client.Get(baseUrl + "/cloudfunction-sub-page")
    if err != nil {
        fmt.Printf("cannot fetch result: %v", err)
        os.Exit(1)
    }
    defer res.Body.Close()
    body, err := ioutil.ReadAll(res.Body)
    if err != nil {
        fmt.Printf("cannot read response: %v", err)
        os.Exit(1)
    }
    println(string(body))
}

我编写了一个名为 token-generator 的开源应用。它是用 go 编写的，我生成了签名的身份令牌，以便能够调用私有 cloud run 和 cloud function。

随意使用它或复制您自己的应用程序所需的核心代码！！如果您愿意，我们可以在这里讨论或在 github 上提出问题。

今天关于《在 Golang 中验证客户端对 Cloud Function 的请求，并使用服务帐户》的内容就介绍到这里了，是不是学起来一目了然！想要了解更多关于的内容请关注golang学习网公众号！