如何解决尝试通过 Cloud Scheduler 调用使用 firebase-admin 对服务帐户进行身份验证?错误:Firebase ID 令牌的“iss”颁发者声明不正确
我正在尝试验证从 Cloud Scheduler cron 作业对我的服务器(在 Cloud Run 上)发出的 API 调用。
我正在尝试为此使用服务帐户。
注意:这一切都发生在同一个项目中。
参考:
这就是我正在做的:
第 1 步 - 创建服务帐户
我去了 https://console.cloud.google.com/apis/credentials 并创建了一个新的服务帐户。我已将该角色指定为 owner。
第 2 步 - 创建 Cron 作业。
我像往常一样去 https://console.cloud.google.com/cloudscheduler 创建 cron 作业。
在 service account 字段中,我已经输入了我的服务帐户电子邮件。在 Audience 字段中,我输入了我的项目 ID,因为在某些时候我收到一个错误,说它期望它是我的项目 ID 的名称。
这是错误:
Firebase ID 令牌的“aud”(受众)声明不正确。预期 "PROJECT_ID"
第 3 步 - 运行作业并识别解码令牌:
这是我服务器上的代码:
import * as admin from "firebase-admin";
admin.initializeApp({
credential: admin.credential.cert(
// THIS IS THE DEFAULT FIREBASE-ADMIN SERVICE ACCOUNT
// THAT IS AUTOMATICALLY CREATED BY FIREBASE
SERVICE_ACCOUNT as admin.ServiceAccount
)});
// THIS IS THE CODE THAT IS INSIDE MY SERVER TRYING TO VERIFY THE SERVICE ACCOUNT
try {
const authHeader = req.headers.authorization;
console.log(`authHeader: ${authHeader}`);
if (authHeader) {
const idToken = authHeader.split(" ")[1]; // GETS THE USER ID TOKEN
const decodedToken = await admin.auth().verifyIdToken(idToken);
console.log(`decodedToken: ${decodedToken}`);
}
}
这是我目前遇到的错误:
Firebase ID 令牌的“iss”(颁发者)声明不正确。应为“https://securetoken.google.com/”my-project-id”,但得到“https://accounts.google.com”。确保 ID 令牌来自与过去使用的服务帐户相同的 Firebase 项目验证此 SDK。有关如何检索 ID 令牌的详细信息,请参阅 https://firebase.google.com/docs/auth/admin/verify-id-tokens。
我的做法有什么问题吗?我不应该为此使用 firebase-admin 吗?
我应该使用 google-auth-library 来验证令牌吗?
- https://github.com/googleapis/google-auth-library-nodejs#verifying-id-tokens
- https://developers.google.com/identity/sign-in/web/backend-auth
解决方法
在地狱般的一个早晨试图调试它之后,这是我发现的。
似乎 firebase-admin 的 admin.auth().verifyIdToken() 仅适用于从 firebase SDK 生成的令牌。
我通过直接使用 google-auth-library 使其工作。
我做了以下。
注意:其余代码相同(使用问题中描述的相同服务帐户):
import { OAuth2Client } from "google-auth-library";
export const apiExpressRouteHandler: RequestHandler = async (req,res) => {
try {
const PROJECT_ID = process.env.PROJECT_ID;
const authHeader = req.headers.authorization;
if (authHeader) {
const client = new OAuth2Client(PROJECT_ID);
const ticket = await client.verifyIdToken({
idToken: authHeader.split(" ")[1],audience: PROJECT_ID
});
// LOGGING ticket PROPERTIES
console.log(`userId: ${JSON.stringify(ticket.getUserId())}`);
console.log(`payload: ${JSON.stringify(ticket.getPayload())}`);
console.log(`envelope: ${JSON.stringify(ticket.getEnvelope())}`);
console.log(`attributes: ${JSON.stringify(ticket.getAttributes())}`);
}
// REST OF THE CODE
}
}
catch(err) {
// ...
}
我不确定用 PROJECT_ID 初始化客户端是否需要 new OAuth2Client(PROJECT_ID);,但它的工作原理是这样的。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。