问题描述
我有一个JWT令牌,我想使用Google端点的开放yaml安全性定义进行验证。 但是它只检查来自同一发行者和受众的令牌。我看不到任何其他检查。因此,具有相同发行者和受众的任何人都可以呼叫端点。我想为我的租户限制它的客户端ID /秘密我尝试了https://auth0.com/docs/integrations/google-cloud-endpoints中提到的详细信息。尝试使用密码或应用程序时,尽管范围不同,但仍允许具有相同发行者和受众的用户。我想限制我的租户。我能做到吗?
security:
- auth0_jwt:
- openid
- profile
- email
securityDeFinitions:
auth0_jwt:
tokenUrl: https://domain_name/oauth/token
flow: application
type: oauth2
x-google-issuer: https://domain_name/
x-google-jwkuri: https://jwks_uri
x-google-audiences: https://audience_name/
scopes:
openid: test
profile: test
email: test
在上面的代码中,安全性写在路径内。与上面的链接中提到的相同。 我对索赔也有疑问。如何使用opena api yaml在Google端点的令牌中验证索赔?
解决方法
Cloud Endpoint仅执行身份验证,而不执行授权。要实现授权检查,您必须在API中实现该过程。在我的公司中,我们通常使用Firestore存储和检索用户电子邮件与其个人资料(授权)之间的链接。