问题描述
我们正在开发一个API,供非Google Cloud内的外部客户端使用。
看来Google Cloud Endpoints是这种情况的理想选择。
我们需要什么:
我不清楚的部分是,如果客户不在Google Cloud中,则如何对他们进行身份验证和识别。
我们已经在一部分或我们的应用程序中通过用户电子邮件使用Firebase身份验证。继续使用该身份验证会很方便,但是我不太了解如何使用。 Google docs说客户端应用程序必须发送JWT令牌。但是,它必须使用什么私钥来签署JWT?
我们正在考虑的第二种认证客户端的方法是使用custom method认证用户。但我有一个相同的问题:客户端应用程序必须使用什么私钥来签名JWT?
客户端是否打算生成自己的密钥对?
如果在我们的用例中有一些更好的选择,或者如果我缺少一些东西,请随时为我指明正确的方向。
解决方法
您的方法正确!
- 使用firebase,JS库允许您验证正确的身份提供者,而lib也允许您生成JWT。这里不需要私钥!
- 与自定义方法不同。 Cloud Endpoint需要验证JWT的签名。为此,Cloud Endpoint需要知道用于签署JWT的私钥的公钥。大多数情况下,它是由您自己的IdP系统提供的。
在您的上下文中,Firebase auth(如果要在Google Cloud上管理用户,则为Cloud Identity Platform)是最适合您的解决方案。 对于多个客户,您无法注册其所有公钥,唯一的解决方案是拥有自己的IDP,并在其上注册所有客户。
我还有一个问题:您打算如何计算每个客户的请求数量?是通过Cloud Endpoint还是您自己的数据库?
,我们提出了一种使用custom方法对用户进行身份验证的解决方案:
- 我们使用firebase通过电子邮件实现了用户身份验证(如我的问题所述。)
- 为用户添加了一种将其公共证书上传到我们的“门户”的方法。
2.1。这是使用Google Cloud功能完成的。基本上,我们创建了两个端点:
2.1.1。使用Firebase令牌上传公共证书。
2.1.2。通过某个网址以JWKS格式显示所有公共证书(通过这种方式,谷歌能够验证用户的JWT签名) - 为用户发布了有关如何形成JWT以使用我们的API的说明(此时,每个用户都必须拥有与其之前上传的公钥关联的私钥)。
- 现在我们API的用户可以使用提供的JWT令牌进行API调用。
我们的技术堆栈如下:
- 云功能(用于证书处理)。
- Firestore(用于身份验证,存储证书等)。
- 使用ESPv2的Cloud Endpoints
- Google App Engine标准环境