Google Auth Library Node.js 中如何从 ExternalAccountClient 获取 GoogleAuth 对象
在 Google Cloud 开发中,我们经常需要在不同服务之间进行身份验证。本文将详细介绍如何在 Node.js 环境中,使用 google-auth-library 库从 ExternalAccountClient 获取 GoogleAuth 对象,以便与 Cloud Run 后端服务进行安全通信。
背景知识
Google Auth Library 提供了多种身份验证方式,其中 ExternalAccountClient 是一种特殊类型的客户端,用于处理外部身份提供者的认证流程。而 GoogleAuth 是一个更高级别的抽象,可以包装各种 AuthClient 实现。
解决方案
方法一:使用 fromJSON 直接创建 GoogleAuth
最直接的方式是使用 GoogleAuth.fromJSON() 方法,该方法可以直接接收与 ExternalAccountClient.fromJSON() 相同的配置参数:
const {GoogleAuth} = require('google-auth-library');
const auth = GoogleAuth.fromJSON({
type: "external_account",
audience: `//iam.googleapis.com/projects/${GCP_PROJECT_NUMBER}/locations/global/workloadIdentityPools/${GCP_WORKLOAD_IDENTITY_POOL_ID}/providers/${GCP_WORKLOAD_IDENTITY_POOL_PROVIDER_ID}`,
subject_token_type: "urn:ietf:params:oauth:token-type:jwt",
token_url: "https://sts.googleapis.com/v1/token",
service_account_impersonation_url: `https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/${GCP_SERVICE_ACCOUNT_EMAIL}:generateAccessToken`,
subject_token_supplier: {
getSubjectToken: getVercelOidcToken,
}
});
方法二:将 ExternalAccountClient 传递给 GoogleAuth
如果你已经创建了 ExternalAccountClient 实例,可以直接将其传递给 GoogleAuth 构造函数:
const {GoogleAuth, ExternalAccountClient} = require('google-auth-library');
const authClient = ExternalAccountClient.fromJSON({
// 配置参数同上
});
const auth = new GoogleAuth({
authClient: authClient,
scopes: "https://www.googleapis.com/auth/cloud-platform",
projectId: GCP_PROJECT_ID
});
获取 ID Token 访问 Cloud Run
获取到 GoogleAuth 实例后,就可以轻松获取 ID Token 来访问受保护的 Cloud Run 服务:
const idTokenClient = await auth.getIdTokenClient(backend_url);
const response = await idTokenClient.request({url: backend_url});
最佳实践
-
环境变量管理:建议将 GCP_PROJECT_NUMBER、GCP_WORKLOAD_IDENTITY_POOL_ID 等配置信息存储在环境变量中,而不是硬编码在代码里。
-
错误处理:添加适当的错误处理逻辑,特别是在获取和刷新令牌时。
-
令牌缓存:GoogleAuth 会自动管理令牌的缓存和刷新,无需手动处理。
-
最小权限原则:只为服务账户授予必要的最小权限,而不是使用过于宽泛的权限。
总结
通过上述方法,我们可以在 Node.js 应用中灵活地使用 ExternalAccountClient 和 GoogleAuth 来实现安全的服务间通信。这种方法特别适合在无服务器环境(如 Vercel)中与 Google Cloud 服务进行集成,既保证了安全性,又简化了身份验证流程。
相关内容推荐
atomcodeClaude Code 的开源替代方案。连接任意大模型,编辑代码,运行命令,自动验证 — 全自动执行。用 Rust 构建,极致性能。 | An open-source alternative to Claude Code. Connect any LLM, edit code, run commands, and verify changes — autonomously. Built in Rust for speed. Get StartedRust099- DDeepSeek-V4-ProDeepSeek-V4-Pro(总参数 1.6 万亿,激活 49B)面向复杂推理和高级编程任务,在代码竞赛、数学推理、Agent 工作流等场景表现优异,性能接近国际前沿闭源模型。Python00
MiMo-V2.5-ProMiMo-V2.5-Pro作为旗舰模型,擅⻓处理复杂Agent任务,单次任务可完成近千次⼯具调⽤与⼗余轮上 下⽂压缩。Python00
GLM-5.1GLM-5.1是智谱迄今最智能的旗舰模型,也是目前全球最强的开源模型。GLM-5.1大大提高了代码能力,在完成长程任务方面提升尤为显著。和此前分钟级交互的模型不同,它能够在一次任务中独立、持续工作超过8小时,期间自主规划、执行、自我进化,最终交付完整的工程级成果。Jinja00
Kimi-K2.6Kimi K2.6 是一款开源的原生多模态智能体模型,在长程编码、编码驱动设计、主动自主执行以及群体任务编排等实用能力方面实现了显著提升。Python00
MiniMax-M2.7MiniMax-M2.7 是我们首个深度参与自身进化过程的模型。M2.7 具备构建复杂智能体应用框架的能力,能够借助智能体团队、复杂技能以及动态工具搜索,完成高度精细的生产力任务。Python00
热门内容推荐
最新内容推荐
项目优选
docsatomcode
ops-math
kernel
RuoYi-Vue3
pytorch
cherry-studio
kernel
flutter_flutter
nop-entropy