是否可以使用Authorization: Bearer …标头通过身份感知代理向受保护的应用程序发出请求?(当然,使用服务帐户。来自 GCP 外部。
我不想执行 OIDC 代币交换,这是否受支持?
如果是这样,有人有任何例子吗?
到目前为止,我有以下内容,但它不起作用:
iat = time.time()
exp = iat + 3600
payload = {'iss': account['client_email'],
'sub': account['client_email'],
'aud': '/projects/NNNNN/apps/XXXXXXX',
'iat': iat,
'exp': exp}
additional_headers = {'kid': account['private_key']}
signed_jwt = jwt.encode(payload, account['private_key'], headers=additional_headers,
algorithm='RS256')
signed_jwt = signed_jwt.decode('utf-8')
这会产生:Invalid IAP credentials: JWT signature is invalid。
目前不支持此功能。IAP 期望 Google 帐户基础架构使用其私钥生成签名,因此这就是签名检查失败的原因。你能告诉我更多关于你为什么想避免 OIDC 代币交换吗? --Matthew,谷歌IAP工程