Google Auth Library Node.js 中如何从 ExternalAccountClient 获取 GoogleAuth 对象
在 Google Cloud 开发中,我们经常需要在不同服务之间进行身份验证。本文将详细介绍如何在 Node.js 环境中,使用 google-auth-library 库从 ExternalAccountClient 获取 GoogleAuth 对象,以便与 Cloud Run 后端服务进行安全通信。
背景知识
Google Auth Library 提供了多种身份验证方式,其中 ExternalAccountClient 是一种特殊类型的客户端,用于处理外部身份提供者的认证流程。而 GoogleAuth 是一个更高级别的抽象,可以包装各种 AuthClient 实现。
解决方案
方法一:使用 fromJSON 直接创建 GoogleAuth
最直接的方式是使用 GoogleAuth.fromJSON() 方法,该方法可以直接接收与 ExternalAccountClient.fromJSON() 相同的配置参数:
const {GoogleAuth} = require('google-auth-library');
const auth = GoogleAuth.fromJSON({
type: "external_account",
audience: `//iam.googleapis.com/projects/${GCP_PROJECT_NUMBER}/locations/global/workloadIdentityPools/${GCP_WORKLOAD_IDENTITY_POOL_ID}/providers/${GCP_WORKLOAD_IDENTITY_POOL_PROVIDER_ID}`,
subject_token_type: "urn:ietf:params:oauth:token-type:jwt",
token_url: "https://sts.googleapis.com/v1/token",
service_account_impersonation_url: `https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/${GCP_SERVICE_ACCOUNT_EMAIL}:generateAccessToken`,
subject_token_supplier: {
getSubjectToken: getVercelOidcToken,
}
});
方法二:将 ExternalAccountClient 传递给 GoogleAuth
如果你已经创建了 ExternalAccountClient 实例,可以直接将其传递给 GoogleAuth 构造函数:
const {GoogleAuth, ExternalAccountClient} = require('google-auth-library');
const authClient = ExternalAccountClient.fromJSON({
// 配置参数同上
});
const auth = new GoogleAuth({
authClient: authClient,
scopes: "https://www.googleapis.com/auth/cloud-platform",
projectId: GCP_PROJECT_ID
});
获取 ID Token 访问 Cloud Run
获取到 GoogleAuth 实例后,就可以轻松获取 ID Token 来访问受保护的 Cloud Run 服务:
const idTokenClient = await auth.getIdTokenClient(backend_url);
const response = await idTokenClient.request({url: backend_url});
最佳实践
-
环境变量管理:建议将 GCP_PROJECT_NUMBER、GCP_WORKLOAD_IDENTITY_POOL_ID 等配置信息存储在环境变量中,而不是硬编码在代码里。
-
错误处理:添加适当的错误处理逻辑,特别是在获取和刷新令牌时。
-
令牌缓存:GoogleAuth 会自动管理令牌的缓存和刷新,无需手动处理。
-
最小权限原则:只为服务账户授予必要的最小权限,而不是使用过于宽泛的权限。
总结
通过上述方法,我们可以在 Node.js 应用中灵活地使用 ExternalAccountClient 和 GoogleAuth 来实现安全的服务间通信。这种方法特别适合在无服务器环境(如 Vercel)中与 Google Cloud 服务进行集成,既保证了安全性,又简化了身份验证流程。
Kimi-K2.5Kimi K2.5 是一款开源的原生多模态智能体模型,它在 Kimi-K2-Base 的基础上,通过对约 15 万亿混合视觉和文本 tokens 进行持续预训练构建而成。该模型将视觉与语言理解、高级智能体能力、即时模式与思考模式,以及对话式与智能体范式无缝融合。Python00- QQwen3-Coder-Next2026年2月4日,正式发布的Qwen3-Coder-Next,一款专为编码智能体和本地开发场景设计的开源语言模型。Python00
xw-cli实现国产算力大模型零门槛部署,一键跑通 Qwen、GLM-4.7、Minimax-2.1、DeepSeek-OCR 等模型Go06
PaddleOCR-VL-1.5PaddleOCR-VL-1.5 是 PaddleOCR-VL 的新一代进阶模型,在 OmniDocBench v1.5 上实现了 94.5% 的全新 state-of-the-art 准确率。 为了严格评估模型在真实物理畸变下的鲁棒性——包括扫描伪影、倾斜、扭曲、屏幕拍摄和光照变化——我们提出了 Real5-OmniDocBench 基准测试集。实验结果表明,该增强模型在新构建的基准测试集上达到了 SOTA 性能。此外,我们通过整合印章识别和文本检测识别(text spotting)任务扩展了模型的能力,同时保持 0.9B 的超紧凑 VLM 规模,具备高效率特性。Python00
KuiklyUI基于KMP技术的高性能、全平台开发框架,具备统一代码库、极致易用性和动态灵活性。 Provide a high-performance, full-platform development framework with unified codebase, ultimate ease of use, and dynamic flexibility. 注意:本仓库为Github仓库镜像,PR或Issue请移步至Github发起,感谢支持!Kotlin08
VLOOKVLOOK™ 是优雅好用的 Typora/Markdown 主题包和增强插件。 VLOOK™ is an elegant and practical THEME PACKAGE × ENHANCEMENT PLUGIN for Typora/Markdown.Less00
项目优选
kernel
docs
flutter_flutter
pytorch
RuoYi-Vue3
cherry-studio
ohos_react_native
kernelAscendNPU-IR
agent-studio