Google Auth Library Node.js 中如何从 ExternalAccountClient 获取 GoogleAuth 对象
在 Google Cloud 开发中,我们经常需要在不同服务之间进行身份验证。本文将详细介绍如何在 Node.js 环境中,使用 google-auth-library 库从 ExternalAccountClient 获取 GoogleAuth 对象,以便与 Cloud Run 后端服务进行安全通信。
背景知识
Google Auth Library 提供了多种身份验证方式,其中 ExternalAccountClient 是一种特殊类型的客户端,用于处理外部身份提供者的认证流程。而 GoogleAuth 是一个更高级别的抽象,可以包装各种 AuthClient 实现。
解决方案
方法一:使用 fromJSON 直接创建 GoogleAuth
最直接的方式是使用 GoogleAuth.fromJSON() 方法,该方法可以直接接收与 ExternalAccountClient.fromJSON() 相同的配置参数:
const {GoogleAuth} = require('google-auth-library');
const auth = GoogleAuth.fromJSON({
type: "external_account",
audience: `//iam.googleapis.com/projects/${GCP_PROJECT_NUMBER}/locations/global/workloadIdentityPools/${GCP_WORKLOAD_IDENTITY_POOL_ID}/providers/${GCP_WORKLOAD_IDENTITY_POOL_PROVIDER_ID}`,
subject_token_type: "urn:ietf:params:oauth:token-type:jwt",
token_url: "https://sts.googleapis.com/v1/token",
service_account_impersonation_url: `https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/${GCP_SERVICE_ACCOUNT_EMAIL}:generateAccessToken`,
subject_token_supplier: {
getSubjectToken: getVercelOidcToken,
}
});
方法二:将 ExternalAccountClient 传递给 GoogleAuth
如果你已经创建了 ExternalAccountClient 实例,可以直接将其传递给 GoogleAuth 构造函数:
const {GoogleAuth, ExternalAccountClient} = require('google-auth-library');
const authClient = ExternalAccountClient.fromJSON({
// 配置参数同上
});
const auth = new GoogleAuth({
authClient: authClient,
scopes: "https://www.googleapis.com/auth/cloud-platform",
projectId: GCP_PROJECT_ID
});
获取 ID Token 访问 Cloud Run
获取到 GoogleAuth 实例后,就可以轻松获取 ID Token 来访问受保护的 Cloud Run 服务:
const idTokenClient = await auth.getIdTokenClient(backend_url);
const response = await idTokenClient.request({url: backend_url});
最佳实践
-
环境变量管理:建议将 GCP_PROJECT_NUMBER、GCP_WORKLOAD_IDENTITY_POOL_ID 等配置信息存储在环境变量中,而不是硬编码在代码里。
-
错误处理:添加适当的错误处理逻辑,特别是在获取和刷新令牌时。
-
令牌缓存:GoogleAuth 会自动管理令牌的缓存和刷新,无需手动处理。
-
最小权限原则:只为服务账户授予必要的最小权限,而不是使用过于宽泛的权限。
总结
通过上述方法,我们可以在 Node.js 应用中灵活地使用 ExternalAccountClient 和 GoogleAuth 来实现安全的服务间通信。这种方法特别适合在无服务器环境(如 Vercel)中与 Google Cloud 服务进行集成,既保证了安全性,又简化了身份验证流程。
GLM-5智谱 AI 正式发布 GLM-5,旨在应对复杂系统工程和长时域智能体任务。Jinja00- GLM-5.1GLM-5.1是智谱迄今最智能的旗舰模型,也是目前全球最强的开源模型。GLM-5.1大大提高了代码能力,在完成长程任务方面提升尤为显著。和此前分钟级交互的模型不同,它能够在一次任务中独立、持续工作超过8小时,期间自主规划、执行、自我进化,最终交付完整的工程级成果。Jinja00
LongCat-AudioDiT-1BLongCat-AudioDiT 是一款基于扩散模型的文本转语音(TTS)模型,代表了当前该领域的最高水平(SOTA),它直接在波形潜空间中进行操作。00- QQwen3.5-397B-A17BQwen3.5 实现了重大飞跃,整合了多模态学习、架构效率、强化学习规模以及全球可访问性等方面的突破性进展,旨在为开发者和企业赋予前所未有的能力与效率。Jinja00
HY-Embodied-0.5这是一套专为现实世界具身智能打造的基础模型。该系列模型采用创新的混合Transformer(Mixture-of-Transformers, MoT) 架构,通过潜在令牌实现模态特异性计算,显著提升了细粒度感知能力。Jinja00
FreeSql功能强大的对象关系映射(O/RM)组件,支持 .NET Core 2.1+、.NET Framework 4.0+、Xamarin 以及 AOT。C#00
项目优选
kernel
docs
RuoYi-Vue3
pytorch
kernel
flutter_flutter
leetcodeMindSpeed-LLM
ops-math
cherry-studio