GCP 外部应用程序到应用程序引擎端点身份验证
GCP external application to app-engine endpoint authentication
我们正在使用 React 构建一个小型 Web-UI,它将由 GCP App-Engine(标准)提供服务。 UI 将在我们客户的员工单击其内部 GIS 系统内的 link 时向他们显示图像轮播以及一些图像元数据。我们希望对这些调用进行身份验证,因为 App-Engine 端点将公开,并希望使用 GCP 服务帐户私钥,客户端将使用该私钥创建限时 JSON 网络令牌这将在 GIS 用户打开 web-UI 时为其提供临时访问权限。我们正在关注 this GCP documentation。总结:
- 我们在 GCP 中创建一个具有必要 IAM 权限的新服务帐户以及一个密钥
- 我们与客户端共享私钥,然后他们使用该私钥签署 Json Web 令牌,当用户从他们的 GIS 系统访问我们的 web-UI 时,该令牌在调用我们端点时传递
- 调用由 GCP 后端验证(ESP/OpenAPI)
问题:这是外部系统访问 GCP 资源的推荐方法还是有更好的模式更适用于这种情况(外部系统访问 GCP 资源)?
我相信这是针对您的用例的推荐方法。
我们正在使用 React 构建一个小型 Web-UI,它将由 GCP App-Engine(标准)提供服务。 UI 将在我们客户的员工单击其内部 GIS 系统内的 link 时向他们显示图像轮播以及一些图像元数据。我们希望对这些调用进行身份验证,因为 App-Engine 端点将公开,并希望使用 GCP 服务帐户私钥,客户端将使用该私钥创建限时 JSON 网络令牌这将在 GIS 用户打开 web-UI 时为其提供临时访问权限。我们正在关注 this GCP documentation。总结:
- 我们在 GCP 中创建一个具有必要 IAM 权限的新服务帐户以及一个密钥
- 我们与客户端共享私钥,然后他们使用该私钥签署 Json Web 令牌,当用户从他们的 GIS 系统访问我们的 web-UI 时,该令牌在调用我们端点时传递
- 调用由 GCP 后端验证(ESP/OpenAPI)
问题:这是外部系统访问 GCP 资源的推荐方法还是有更好的模式更适用于这种情况(外部系统访问 GCP 资源)?
我相信这是针对您的用例的推荐方法。