假定以下情况:
User <> Cloud IAP <> App Engine App <> Google APIs
App Engine App如何代表经过身份验证的用户访问Google APIs? (即不使用App Engine App服务帐户)
Cloud IAP将JWT令牌传输到App Engine App,但是我无法使用它来访问Google APIs资源(例如用户个人资料)。
我找不到该情况的任何相关文档。
答案 0 :(得分:1)
应用程序不会自动代表其用户调用API,即使该应用程序位于Cloud IAP之后。存在Cloud IAP的目的是控制对应用程序的访问,而不是授予应用程序权限。
要允许应用代表用户执行操作,该应用必须执行the OAuth2.0 web server flow。通常,您将使用google提供的oauth2库来执行此流程(python,java,etc),然后将该凭据传递到您用来进行实际API调用的客户端库中