Firebase CLI 14.3.0版本中GOOGLE_APPLICATION_CREDENTIALS认证问题解析

在Firebase CLI工具14.3.0版本中，开发者遇到了一个关键的认证问题：当使用GOOGLE_APPLICATION_CREDENTIALS环境变量进行服务账号认证时，无法正常执行firebase use命令。这个问题影响了包括本地开发和CI/CD流水线在内的多种使用场景。

问题现象

开发者在使用14.3.0版本时，通过设置GOOGLE_APPLICATION_CREDENTIALS环境变量指向有效的服务账号密钥文件后，执行firebase use命令会返回"Invalid project selection"错误。而在14.2.x版本中，相同的配置可以正常工作。

从调试日志中可以看到，CLI工具尝试获取OAuth令牌失败，随后向serviceusage.googleapis.com发送的请求返回了403状态码，表明权限不足。这与14.2.x版本的行为形成了鲜明对比，后者直接查询cloudresourcemanager.googleapis.com并成功返回项目信息。

问题根源

经过Firebase团队调查，发现这个问题源于14.3.0版本引入的一项新检查机制。新版本在执行项目选择操作前，会先检查cloudresourcemanager.googleapis.com服务是否已启用。这项检查需要服务账号拥有services.get权限，而许多现有的服务账号可能没有配置这个特定权限。

具体来说，14.3.0版本新增了对Service Usage API的调用，以验证相关服务是否可用。如果服务账号缺少Service Usage Viewer角色或等效权限，就会导致认证失败，即使该账号实际上拥有访问项目资源的权限。

解决方案

Firebase团队迅速响应，在14.3.1版本中修复了这个问题。新版本将服务启用检查改为"尽力而为"的模式，即使这项检查失败也不会阻止后续操作继续进行。这意味着：

1. 如果服务账号有Service Usage API权限，仍会执行服务启用检查
2. 如果权限不足，检查会静默失败，CLI会继续尝试访问项目资源

对于暂时无法升级的用户，可以采取以下临时解决方案：

1. 为服务账号授予Service Usage Viewer角色
2. 降级到14.2.x版本

最佳实践建议

为避免类似问题，建议开发者在配置Firebase服务账号时：

1. 确保服务账号拥有完整的所需权限集，包括：

   • Firebase相关权限
   • Cloud Resource Manager权限
   • Service Usage API权限

2. 在CI/CD环境中，始终指定使用的CLI版本，避免自动升级导致意外行为

3. 定期检查Firebase CLI的更新日志，了解新版本可能引入的行为变化

这个案例也提醒我们，在自动化工具链中，即使是看似微小的权限模型变更，也可能对现有工作流产生重大影响。保持对依赖项变更的关注，并建立适当的测试机制，是维护稳定开发环境的关键。