Question

将Cloud Endpoints Frameworks用于App Engine除了使用Google帐户进行身份验证之外，我还添加了使用Firebase身份验证的身份验证。

一切都很好，我可以使用Firebase Auth授权客户端请求，但现在我无法再使用API Explorer，因为它使用了Google的身份验证，并产生了401 "Invalid credentials"响应。

我通过以下方式添加了Firebase Auth：

    @Api(
            name = "test",
            version = "v1",
//        authenticators = {EspAuthenticator.class},
            issuers = {
                    @ApiIssuer(
                            name = "firebase",
                            issuer = "https://securetoken.google.com/PROJECT-ID",
                            jwksUri = "https://www.googleapis.com/service_accounts/v1/metadata/x509/securetoken@system.gserviceaccount.com")
            },
            issuerAudiences = {
                    @ApiIssuerAudience(name = "firebase", audiences = "PROJECT-ID")
            },
            scopes = {Constants.EMAIL_SCOPE},
            clientIds = {Constants.WEB_CLIENT_ID, Constants.ANDROID_CLIENT_ID, Constants.IOS_CLIENT_ID, Constants.API_EXPLORER},
            audiences = {Constants.ANDROID_AUDIENCE},
            namespace = @ApiNamespace(ownerDomain = "XXX", ownerName = "XXX", packagePath="")
    )

使用Google身份验证和API Explorer的方法是：

@ApiMethod(
)
public User getTestUserGoogle(User user) throws UnauthorizedException {
    if (user == null) {
        throw new UnauthorizedException("Invalid credentials");
    }

    return user;
}

在Firebase Auth上使用API Explorer而非OAuth 2.0的方法是：

@ApiMethod(
        authenticators = {EspAuthenticator.class}
)
public User getTestUserFirebase(User user) throws UnauthorizedException {
    if (user == null) {
        throw new UnauthorizedException("Invalid credentials");
    }

    return user;
}

此代码段似乎建议EspAuthenticator.class使用Google身份验证：https://github.com/GoogleCloudPlatform/java-docs-samples/blob/master/appengine/endpoints-frameworks-v2/backend/src/main/java/com/example/echo/Echo.java#L128

但是，只要401 "Invalid credentials"设置为身份验证器，API Explorer请求就会失败，并显示EspAuthenticator.class响应。

有什么方法可以让Google和Firebase身份验证同时使用相同的方法吗？这两种方法之间的唯一区别是EspAuthenticator.class，并且基于上面链接中的官方代码段，Google身份验证仍然可以与EspAuthenticator.class身份验证器一起使用。

更新：我从Stackdriver获得的错误是：

com.google.api.server.spi.auth.EspAuthenticator authenticate：验证失败： com.google.common.util.concurrent.UncheckedExecutionException： com.google.api.auth.UnauthenticatedException： org.jose4j.jwt.consumer.InvalidJwtException：无法处理JOSE object（cause：org.jose4j.lang.JoseException：无效的JOSE Compact 序列化。期待JWS或JWE的3或5个零件分别但是2.）： ya29.GmAkBDwfsFuyOCL7kqSSLelSHpOb9LJLyewtPfpeH1a4t12i8MWmzHBNliMeR9dAtOSARG2o-QlZEHisfEPYbA-WB-Eh36zugIufmVbDe4E2TP9StAOjub8nsrhAzuGbolE （EspAuthenticator.java:86）

此处还提出了一个问题：https://github.com/GoogleCloudPlatform/java-docs-samples/issues/590

Answer 1

您应该添加GoogleOAuth2Authenticator或EndpointsAuthenticator

EndpointsAuthenticator是GoogleJwtAuthenticator，GoogleAppEngineAuthenticator，GoogleOAuth2Authenticator的包装。

好吧，你的authenticators参数应该看起来像

authenticators = {EspAuthenticator.class, GoogleOAuth2Authenticator.class},

Answer 2

更简单，你需要将令牌传递给appengine。

获得firebase令牌后，您必须使用JSON Web Token进行身份验证。我相信这是EspAuthenticator.class方法。

以下是使用firebase令牌的身份验证

Auth JSON WEB TOKEN Firebase用户

curl \
 -H "Content-Type: application/json" \
 -H "Authorization: Bearer ${firebase_token}" \
 -X GET \
 "https://$PROJECT_ID.appspot.com/_ah/api/echo/v1/firebase_user"

在Cloud Endpoints和API Explorer上验证用户（使用Firebase和Google身份验证）

2 个答案:

Auth JSON WEB TOKEN Firebase用户