是否可以使用log.retention.ms=100标头通过身份识别代理向受保护的应用程序发出请求? (当然,使用服务帐户。从GCP外部。)
我想不执行OIDC令牌交换,是否支持此操作?
如果是这样,有人有例子吗?
到目前为止,我有以下内容,但它不起作用:
Authorization: Bearer …这将产生:iat = time.time()
exp = iat + 3600
payload = {'iss': account['client_email'],
'sub': account['client_email'],
'aud': '/projects/NNNNN/apps/XXXXXXX',
'iat': iat,
'exp': exp}
additional_headers = {'kid': account['private_key']}
signed_jwt = jwt.encode(payload, account['private_key'], headers=additional_headers,
algorithm='RS256')
signed_jwt = signed_jwt.decode('utf-8')
。
答案 0 :(得分:1)
当前不支持此功能。 IAP期望Google帐户基础结构使用其私钥生成签名,因此这就是签名检查失败的原因。您能否告诉我更多有关为什么要避免OIDC令牌交换的信息? --Matthew,Google IAP工程