我正在将App Engine Standard与Python 2运行时和Endpoints Frameworks结合使用。 发出请求时,如果请求完成,则应用程序仅返回“成功”。我正在尝试实施身份验证,因此未经身份验证的用户无法完成请求。我已完成以下操作:
issuers={'serviceAccount': endpoints.Issuer('[MYSERVICEACCOUNT]', 'https://www.googleapis.com/robot/v1/metadata/x509/[MYSERVICEACCOUNT]')},
audiences={'serviceAccount': ['[MYSERVICENAME]-dot-[MYPROJECT].appspot.com']}
user = endpoints.get_current_user()
if user is None:
raise endpoints.UnauthorizedException('You must authenticate first.')
重新生成并重新部署了我的openAPI文档。现在,它具有security和securityDefinitions部分。
更新了我的app.yaml以引用该端点版本。
重新部署了我的应用
要向我的应用程序发出授权请求,我已执行以下操作:
我在Endpoints服务上为服务帐户赋予了“服务使用者”角色。
使用Google documentation的generate_jwt函数生成一个签名的jwt。我正在使用服务帐户的json密钥文件传递凭据。
payload = json.dumps({
"iat": now,
"exp": now + 3600,
"iss": [MYSERVICEACCOUNT],
"sub": [MYSERVICEACCOUNT],
"aud": [MYSERVICENAME]-dot-[MYPROJECT].appspot.com
})
headers = {
'Authorization': 'Bearer {}'.format(signed_jwt),
'content-type': 'application/json'}
我收到401客户端错误:未经授权的网址错误。我想念什么吗?
答案 0 :(得分:1)
您的受众群体不匹配;在您的代码中,您需要[MYSERVICEACCOUNT]的受众,但是在生成JWT时,您的受众是[MYSERVICENAME]-dot-[MYPROJECT].appspot.com。这些需要匹配。
答案 1 :(得分:1)
很少有细节,可能值得检查:
aud声明值。罗斯指出了这一点。email词典中的payload声明。scopes装饰器的@endpoints.method字段。答案 2 :(得分:0)
打开与Google的支持票后,事实证明Google的文档不正确。 main.py函数需要通过以下方式检查经过身份验证的用户:
providers=[{
'issuer': '[YOUR-SERVICE-ACCOUNT]',
'cert_uri': 'https://www.googleapis.com/service_accounts/v1/metadata/raw/[YOUR-SERVICE-ACCOUNT]',
}]
audiences = ['[YOUR-SERVICE-NAME]-dot-[YOUR-PROJECT-NAME].appspot.com']
user = endpoints.get_verified_jwt(providers, audiences, request=request)
if not user:
raise endpoints.UnauthorizedException
进行更改后,尝试进行身份验证的请求时出现以下错误:
在ProtoRPC方法实现中遇到意外错误:AttributeError('unicode'对象没有属性'get')
这是由于我如何使用json.dumps()生成有效负载引起的。我生成的没有json.dumps(),如下所示:
payload = {
"iat": now,
"exp": now + 3600,
"iss": [MYSERVICEACCOUNT],
"sub": [MYSERVICEACCOUNT],
"aud": [MYSERVICENAME]-dot-[MYPROJECT].appspot.com
}
这两个更改解决了我的问题。