Melakukan autentikasi dengan JWT

BigQuery API menerima Token Web JSON (JWT) untuk mengautentikasi permintaan.

Sebagai praktik terbaik, Anda harus menggunakan Kredensial Default Aplikasi (ADC) untuk melakukan autentikasi ke BigQuery. Jika Anda tidak dapat menggunakan ADC dan menggunakan akun layanan untuk autentikasi, Anda dapat menggunakan JWT yang ditandatangani. JWT memungkinkan Anda melakukan panggilan API tanpa permintaan jaringan ke server otorisasi Google.

Anda dapat menggunakan JWT untuk mengautentikasi dengan cara berikut:

Audience

Untuk JWT, klaim audiens digunakan, bukan cakupan. Untuk BigQuery API, tetapkan nilai audiens ke https://bigquery.googleapis.com/.

Membuat JWT dengan library klien

Untuk kunci akun layanan yang dibuat di Konsol Google Cloud atau dengan gcloud CLI, gunakan library klien yang menyediakan penandatanganan JWT. Daftar berikut memberikan beberapa opsi yang sesuai untuk bahasa pemrograman populer:

Contoh Java

Contoh berikut menggunakan library klien BigQuery untuk Java guna membuat dan menandatangani JWT.

import com.google.auth.Credentials;
import com.google.auth.oauth2.ServiceAccountJwtAccessCredentials;
import com.google.cloud.bigquery.BigQuery;
import com.google.cloud.bigquery.BigQueryOptions;
import com.google.cloud.bigquery.Dataset;

import java.io.FileInputStream;
import java.net.URI;

public class Example {
    public static void main(String... args) throws Exception {
        String projectId = "myproject";
        // Load JSON file that contains service account keys and create ServiceAccountJwtAccessCredentials object.
        String credentialsPath = "/path/to/key.json";
        URI audience = URI.create("https://bigquery.googleapis.com/");
        Credentials credentials = null;
        try (FileInputStream is = new FileInputStream(credentialsPath)) {
            credentials = ServiceAccountJwtAccessCredentials.fromStream(is, audience);
        }
        // Instantiate BigQuery client with the credentials object.
        BigQuery bigquery =
                BigQueryOptions.newBuilder().setCredentials(credentials).build().getService();
        // Use the client to list BigQuery datasets.
        System.out.println("Datasets:");
        bigquery
            .listDatasets(projectId)
            .iterateAll()
            .forEach(dataset -> System.out.printf("%s%n", dataset.getDatasetId().getDataset()));
    }
}

Membuat JWT dengan REST atau gcloud CLI

Untuk akun layanan yang dikelola sistem, Anda harus menyusun JWT secara manual, lalu menggunakan metode REST projects.serviceAccounts.signJwt atau perintah Google Cloud CLI gcloud beta iam service-accounts sign-jwt untuk menandatangani JWT. Untuk menggunakan salah satu pendekatan ini, Anda harus menjadi anggota peran Identity and Access Management Service Account Token Creator.

Contoh gcloud CLI

Contoh berikut menunjukkan skrip bash yang menyusun JWT, lalu menggunakan perintah gcloud beta iam service-accounts sign-jwt untuk menandatanganinya.

#!/bin/bash

SA_EMAIL_ADDRESS="myserviceaccount@myproject.iam.gserviceaccount.com"

TMP_DIR=$(mktemp -d /tmp/sa_signed_jwt.XXXXX)
trap "rm -rf ${TMP_DIR}" EXIT
JWT_FILE="${TMP_DIR}/jwt-claim-set.json"
SIGNED_JWT_FILE="${TMP_DIR}/output.jwt"

IAT=$(date '+%s')
EXP=$((IAT+3600))

cat <<EOF > $JWT_FILE
{
  "aud": "https://bigquery.googleapis.com/",
  "iat": $IAT,
  "exp": $EXP,
  "iss": "$SA_EMAIL_ADDRESS",
  "sub": "$SA_EMAIL_ADDRESS"
}
EOF

gcloud beta iam service-accounts sign-jwt --iam-account $SA_EMAIL_ADDRESS $JWT_FILE $SIGNED_JWT_FILE

echo "Datasets:"
curl -L -H "Authorization: Bearer $(cat $SIGNED_JWT_FILE)" \
-X GET \
"https://bigquery.googleapis.com/bigquery/v2/projects/myproject/datasets?alt=json"

Langkah selanjutnya