进行身份验证以便调用

如需创建、更新或执行函数的其他管理操作,您必须拥有具备相应角色主帐号。如需了解详情,请参阅通过 IAM 授予访问权限

但调用函数可能是更复杂的事件。 事件驱动的函数只能由为其订阅的事件源调用,但 HTTP 函数可以由园子不同位置的不同种类的身份调用。调用方可以是正在测试该函数或想要使用该函数的其他函数或服务的开发者。默认情况下,这些身份必须验证自己的身份(提供其身份证明)并具有适当的权限。可以进行未经身份验证的访问,但必须启用该功能。如需了解详情,请参阅通过 IAM 管理访问权限

对开发者测试进行身份验证

作为开发者,您需要具备创建、更新和删除函数的权限,使用常规 (IAM) 流程便授予此权限。

但作为开发者,您可能还需要调用函数以进行测试。如需使用 curl 或类似工具调用函数,您必须执行以下操作:

  • 您用于访问 Cloud Functions 函数的帐号必须拥有包含 cloudfunctions.functions.invoke 权限的角色。默认情况下,Cloud Functions Admin 和 Cloud Functions Developer 角色具有此权限。如需查看角色及其关联权限的完整列表,请参阅 Cloud Functions IAM 角色

  • 如果您使用的是本地机器,请通过初始化 Google Cloud SDK 来设置命令行。确保您已下载服务帐号密钥并设置 GOOGLE_APPLICATION_CREDENTIALS 环境变量。

  • 通过请求提供身份验证凭据,作为 Google 生成的 ID 令牌(存储在 Authorization 标头中)。例如,您可以通过 gcloud 获取令牌,如下所示:

    curl https://REGION-PROJECT_ID.cloudfunctions.net/FUNCTION_NAME \
      -H "Authorization: bearer $(gcloud auth print-identity-token)"
    

与往常一样,我们建议您分配开发和使用函数所需的一组最小权限。请务必将您函数的 IAM 政策限制在最少数量的用户和服务帐号。

使函数向函数调用进行身份验证

在构建连接多个函数的服务时,最好确保每个函数只能向特定的某些其他函数发送请求。例如,如果您有一个 login 函数,那么该函数应该可以访问 user profiles 函数,但可能不应该访问 search 函数。

要将接收函数配置为接收来自特定调用函数的请求,您需要将 Cloud Functions Invoker (roles/cloudfunctions.invoker) 角色授予接收函数的调用函数的服务帐号。

控制台

  1. 转到 Google Cloud Console:

    转到 Google Cloud Console

  2. 点击接收函数旁边的复选框。

  3. 点击屏幕顶部的权限。此时权限面板会打开。

  4. 点击添加主帐号

  5. 新主帐号字段中,输入调用函数的身份。这应该是服务帐号电子邮件。

  6. 选择角色下拉菜单中选择 Cloud Functions > Cloud Functions Invoker 角色。

  7. 点击保存

GCloud

使用 gcloud functions add-iam-policy-binding 命令:

gcloud functions add-iam-policy-binding RECEIVING_FUNCTION \
  --member='serviceAccount:CALLING_FUNCTION_IDENTITY' \
  --role='roles/cloudfunctions.invoker'

其中,RECEIVING_FUNCTION 是接收函数的名称,CALLING_FUNCTION_IDENTITY 是调用函数身份(服务帐号电子邮件)。

由于调用函数将调用接收函数,因此调用函数还必须提供 Google 签名的 ID 令牌以进行身份验证。此流程分为两步:

  1. 创建 Google 签名的 ID 令牌,并将受众字段 (aud) 设置为接收函数的网址。

  2. 将 ID 令牌添加到函数请求的 Authorization: Bearer ID_TOKEN 标头中。

到目前为止,管理此过程最简单、最可靠的方式是通过如下所示的身份验证库生成并使用此令牌。

以编程方式生成令牌

您可以使用以下代码来生成 ID 令牌。此代码可在库可以获取身份验证凭据的任何环境中工作,包括支持本地应用默认凭据的环境。

Node.js

/**
 * TODO(developer): Uncomment these variables before running the sample.
 */
// Example: https://my-cloud-run-service.run.app/books/delete/12345
// const url = 'https://TARGET_HOSTNAME/TARGET_URL';

// Example: https://my-cloud-run-service.run.app/
// const targetAudience = 'https://TARGET_HOSTNAME/';
const {GoogleAuth} = require('google-auth-library');
const auth = new GoogleAuth();

async function request() {
  console.info(`request ${url} with target audience ${targetAudience}`);
  const client = await auth.getIdTokenClient(targetAudience);
  const res = await client.request({url});
  console.info(res.data);
}

request().catch(err => {
  console.error(err.message);
  process.exitCode = 1;
});

Python

import urllib

import google.auth.transport.requests
import google.oauth2.id_token

def make_authorized_get_request(service_url):
    """
    make_authorized_get_request makes a GET request to the specified HTTP endpoint
    in service_url (must be a complete URL) by authenticating with the
    ID token obtained from the google-auth client library.
    """

    req = urllib.request.Request(service_url)

    auth_req = google.auth.transport.requests.Request()
    id_token = google.oauth2.id_token.fetch_id_token(auth_req, service_url)

    req.add_header("Authorization", f"Bearer {id_token}")
    response = urllib.request.urlopen(req)

    return response.read()

Go


import (
	"context"
	"fmt"
	"io"

	"google.golang.org/api/idtoken"
)

// makeGetRequest makes a request to the provided targetURL with an authenticated client.
func makeGetRequest(w io.Writer, targetURL string) error {
	// functionURL := "https://TARGET_URL"
	ctx := context.Background()

	// client is a http.Client that automatically adds an "Authorization" header
	// to any requests made.
	client, err := idtoken.NewClient(ctx, targetURL)
	if err != nil {
		return fmt.Errorf("idtoken.NewClient: %v", err)
	}

	resp, err := client.Get(targetURL)
	if err != nil {
		return fmt.Errorf("client.Get: %v", err)
	}
	defer resp.Body.Close()
	if _, err := io.Copy(w, resp.Body); err != nil {
		return fmt.Errorf("io.Copy: %v", err)
	}

	return nil
}

Java

import com.google.api.client.http.GenericUrl;
import com.google.api.client.http.HttpRequest;
import com.google.api.client.http.HttpResponse;
import com.google.api.client.http.HttpTransport;
import com.google.api.client.http.javanet.NetHttpTransport;
import com.google.auth.http.HttpCredentialsAdapter;
import com.google.auth.oauth2.GoogleCredentials;
import com.google.auth.oauth2.IdTokenCredentials;
import com.google.auth.oauth2.IdTokenProvider;
import java.io.IOException;

public class Authentication {

  // makeGetRequest makes a GET request to the specified Cloud Run or
  // Cloud Functions endpoint, serviceUrl (must be a complete URL), by
  // authenticating with an Id token retrieved from Application Default Credentials.
  public static HttpResponse makeGetRequest(String serviceUrl) throws IOException {
    GoogleCredentials credentials = GoogleCredentials.getApplicationDefault();
    if (!(credentials instanceof IdTokenProvider)) {
      throw new IllegalArgumentException("Credentials are not an instance of IdTokenProvider.");
    }
    IdTokenCredentials tokenCredential =
        IdTokenCredentials.newBuilder()
            .setIdTokenProvider((IdTokenProvider) credentials)
            .setTargetAudience(serviceUrl)
            .build();

    GenericUrl genericUrl = new GenericUrl(serviceUrl);
    HttpCredentialsAdapter adapter = new HttpCredentialsAdapter(tokenCredential);
    HttpTransport transport = new NetHttpTransport();
    HttpRequest request = transport.createRequestFactory(adapter).buildGetRequest(genericUrl);
    return request.execute();
  }
}

手动生成令牌

如果您正在调用某个函数,并且出于某个原因无法使用身份验证库,您可以通过两种方法手动获取 ID 令牌:使用计算元数据服务器或创建一个自签名 JWT 并将其替换为 Google 签名的 ID 令牌。

使用元数据服务器

您可以使用计算元数据服务器来提取具有特定目标设备的 ID 令牌,如下所示:

curl "http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/default/identity?audience=[AUDIENCE]" \
     -H "Metadata-Flavor: Google"

其中 AUDIENCE 是您调用的函数的网址,例如 https://GCP_REGION-PROJECT_ID.cloudfunctions.net/my-function

将自签名 JWT 替换成带有 Google 签名的 ID 令牌

  1. 在接收函数中,为调用函数的服务帐号授予 Cloud Functions Invoker (roles/cloudfunctions.invoker) 角色。

  2. 创建服务帐号和密钥,并将包含私钥的 JSON 文件(JSON 格式)下载到调用函数或服务发起请求所在的主机。

  3. 创建一个 JWT,并将标头设置为 {"alg":"RS256","typ":"JWT"}。载荷应该包含设置为接收函数的网址的 target_audience 声明,以及设置为上面使用的服务帐号的电子邮件地址的 isssub 声明。它还应该包含 expiat 声明。aud 声明应该设置为 https://www.googleapis.com/oauth2/v4/token

  4. 使用上面下载的私钥签署 JWT。

  5. 使用此 JWT 向 https://www.googleapis.com/oauth2/v4/token 发送 POST 请求。身份验证数据必须包含在请求标头和正文中。

    在标头中:

    Authorization: Bearer $JWT - where $JWT is the JWT you just created
    Content-Type: application/x-www-form-urlencoded
    

    在正文中:

    grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&assertion=$JWT
    

    $JWT 替换为您刚创建的 JWT

    系统即会返回另一个 JWT,其中包含由 Google 签名的 id_token

将您的 GET/POST 请求发送到接收函数。在请求的 Authorization: Bearer ID_TOKEN_JWT 标头中添加 Google 签名的 ID 令牌。