AppIdentityError：验证Bearer令牌时收件人错误

Question

我们在应用程序中使用单击操作电子邮件标记。我们的电子邮件已在白名单中列出了我们发送电子邮件的电子邮件ID（XXX@YYY.com）。

当我们尝试验证承载令牌时，我们收到 AppIdentityError：错误的收件人。完成堆栈跟踪：

  

文件＆＃34; ./ app / components / happier_pages / py / lib / oauth2client / util.py＆＃34;，   第141行，位于position_wrapper中       return wrapped（* args，** kwargs）File＆＃34; ./ app / components / happier_pages / py / lib / oauth2client / client.py＆＃34;，line   1706，在verify_id_token中       return crypt.verify_signed_jwt_with_certs（id_token，certs，audience）文件   ＆＃34; ./ app / components / happier_pages / py / lib / oauth2client / crypt.py＆＃34;，line   170，在verify_signed_jwt_with_certs中（aud，audience，json_body））   AppIdentityError：错误的收件人，＆＃34; domain.com＆＃34; ！=   ＆＃34;服务账户-ID＆＃34;   {＆＃34; ISS＆＃34;：＆＃34; accounts.google.com＆＃34;＆＃34; AUD＆＃34;：＆＃34; mydomain.com＆＃34;＆＃34;子＆＃34 ;：＆＃34; 1234556789＆＃34;＆＃34; email_verified＆＃34;：真，＆＃34; AZP＆＃34;：＆＃34; gmail@system.gserviceaccount.com"，＆＃34; ID＆＃34;：＆＃34; 123456789＆＃34;＆＃34; verified_email＆＃34;：真，＆＃34;电子邮件＆＃34;：＆＃34; gmail@system.gserviceaccount.com"，＆ ＃34; CID＆＃34;：＆＃34; gmail@system.gserviceaccount.com"，＆＃34; IAT＆＃34; 123＆＃34;＆EXP＃34; 123}

以下是验证持有人令牌的代码段：

GMAIL_ISSUEE = 'gmail@system.gserviceaccount.com'
GOOGLE_API_CLIENT_SERVICE_ID = 'xxxxx@developer.gserviceaccount.com'
BEARER_TOKEN=self.request.headers["Authorization"].split('Bearer ')[1]
token = client.verify_id_token(BEARER_TOKEN.strip(), GOOGLE_API_CLIENT_SERVICE_ID)

以上代码摘自https://developers.google.com/gmail/markup/actions/verifying-bearer-tokens：

Answer 1

@Sagar已经证实这有效。

而不是：

client.verify_id_token(BEARER_TOKEN, GOOGLE_API_CLIENT_SERVICE_ID) 

将发件人域名用作目标受众：

client.verify_id_token(BEARER_TOKEN, "yourdomain.com")