Google Auth Library Node.js 中如何从 ExternalAccountClient 获取 GoogleAuth 对象
在 Google Cloud 开发中,我们经常需要在不同服务之间进行身份验证。本文将详细介绍如何在 Node.js 环境中,使用 google-auth-library 库从 ExternalAccountClient 获取 GoogleAuth 对象,以便与 Cloud Run 后端服务进行安全通信。
背景知识
Google Auth Library 提供了多种身份验证方式,其中 ExternalAccountClient 是一种特殊类型的客户端,用于处理外部身份提供者的认证流程。而 GoogleAuth 是一个更高级别的抽象,可以包装各种 AuthClient 实现。
解决方案
方法一:使用 fromJSON 直接创建 GoogleAuth
最直接的方式是使用 GoogleAuth.fromJSON() 方法,该方法可以直接接收与 ExternalAccountClient.fromJSON() 相同的配置参数:
const {GoogleAuth} = require('google-auth-library');
const auth = GoogleAuth.fromJSON({
type: "external_account",
audience: `//iam.googleapis.com/projects/${GCP_PROJECT_NUMBER}/locations/global/workloadIdentityPools/${GCP_WORKLOAD_IDENTITY_POOL_ID}/providers/${GCP_WORKLOAD_IDENTITY_POOL_PROVIDER_ID}`,
subject_token_type: "urn:ietf:params:oauth:token-type:jwt",
token_url: "https://sts.googleapis.com/v1/token",
service_account_impersonation_url: `https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/${GCP_SERVICE_ACCOUNT_EMAIL}:generateAccessToken`,
subject_token_supplier: {
getSubjectToken: getVercelOidcToken,
}
});
方法二:将 ExternalAccountClient 传递给 GoogleAuth
如果你已经创建了 ExternalAccountClient 实例,可以直接将其传递给 GoogleAuth 构造函数:
const {GoogleAuth, ExternalAccountClient} = require('google-auth-library');
const authClient = ExternalAccountClient.fromJSON({
// 配置参数同上
});
const auth = new GoogleAuth({
authClient: authClient,
scopes: "https://www.googleapis.com/auth/cloud-platform",
projectId: GCP_PROJECT_ID
});
获取 ID Token 访问 Cloud Run
获取到 GoogleAuth 实例后,就可以轻松获取 ID Token 来访问受保护的 Cloud Run 服务:
const idTokenClient = await auth.getIdTokenClient(backend_url);
const response = await idTokenClient.request({url: backend_url});
最佳实践
-
环境变量管理:建议将 GCP_PROJECT_NUMBER、GCP_WORKLOAD_IDENTITY_POOL_ID 等配置信息存储在环境变量中,而不是硬编码在代码里。
-
错误处理:添加适当的错误处理逻辑,特别是在获取和刷新令牌时。
-
令牌缓存:GoogleAuth 会自动管理令牌的缓存和刷新,无需手动处理。
-
最小权限原则:只为服务账户授予必要的最小权限,而不是使用过于宽泛的权限。
总结
通过上述方法,我们可以在 Node.js 应用中灵活地使用 ExternalAccountClient 和 GoogleAuth 来实现安全的服务间通信。这种方法特别适合在无服务器环境(如 Vercel)中与 Google Cloud 服务进行集成,既保证了安全性,又简化了身份验证流程。
atomcodeClaude Code 的开源替代方案。连接任意大模型,编辑代码,运行命令,自动验证 — 全自动执行。用 Rust 构建,极致性能。 | An open-source alternative to Claude Code. Connect any LLM, edit code, run commands, and verify changes — autonomously. Built in Rust for speed. Get StartedRust0194
cann-learning-hubCANN 学习中心仓,支持在线互动运行、边学边练,提供教程、示例与优化方案,一站式助力昇腾开发者快速上手。Jupyter Notebook0121
MiMo-V2.5-Pro-FP4-DFlashMiMo-V2.5-Pro-FP4-DFlash 是驱动 MiMo-V2.5-Pro-UltraSpeed 的底层模型: FP4 量化骨干网络:对 MoE 专家采用 MXFP4 量化,同时保持模型其他部分的更高精度,在几乎无损质量的前提下,显著减小模型体积并降低内存带宽压力。 BF16 DFlash 草稿生成器:用于块扩散推测解码,每次前向传播可生成一整个块的 tokens,并让骨干网络一步完成验证。 两者协同作用,既降低了每参数的位宽,又减少了骨干网络前向传播的次数,而这两者正是万亿参数模型解码过程中的两大主要成本来源。Python00
JoyAI-EchoJoyAI-Echo,这是一个独立的、仅用于推理的版本,旨在实现分钟级多镜头音视频生成。它采用了经过蒸馏的DMD生成器、配对的跨模态记忆以及故事级别的一致性。其性能的核心在于,一个跨模态视听记忆库能够在长达五分钟的视频中保持角色外观和语音音色的一致性。同时,一个训练后处理流程将基于记忆的强化学习与分布匹配蒸馏相结合,实现了7.5倍的速度提升,显著增强了视觉质量和对齐效果。00
AstrBot✨ 易上手的多平台 LLM 聊天机器人及开发框架 ✨ 平台支持 QQ、QQ频道、Telegram、微信、企微、飞书 | OpenAI、DeepSeek、Gemini、硅基流动、月之暗面、Ollama、OneAPI、Dify 等。附带 WebUI。Python05
handy-ollama动手学Ollama,CPU玩转大模型部署,在线阅读地址:https://datawhalechina.github.io/handy-ollama/Jupyter Notebook06
项目优选
docsops-transformerops-nn
pytorch
kernelops-math
flutter_fluttercannbot-skills
agent-studioMindSpeed-MM