Cloud Endpoints，向 API 密钥授予角色以限制某些方法/路径（例如：读/写角色）

Posted 2023-02-19

【中文标题】Cloud Endpoints，向 API 密钥授予角色以限制某些方法/路径（例如：读/写角色）

【英文标题】：Cloud Endpoints, grant roles to API keys to restrict some methods/paths (e:g read/write roles)

【发布时间】：2020-08-25 00:54:03

【问题描述】：

背景

我创建了多个具有云功能和云运行的微服务。现在，使用 Cloud Endpoints，我可以使用 API 密钥安全地触发我的所有服务。但是，我希望能够控制允许每个 API 密钥访问哪些微服务。我只想让用户使用一个 API 密钥。

示例

假设我正在构建一个交易 API，出于安全考虑，当客户创建 API 密钥时，他可以选择 API 密钥是否只允许读取数据（例如：观察市场价格）或同时读取和写入数据（例如：观察市场价格然后下订单）。用户可以轻松更改其 API 密钥权限。

我没有构建任何像交易 API 那样敏感的东西，但这是我正在尝试做的一个很好的例子。

研究

我见过similar post。接受的答案提出了两种解决方案：

使用 Auth0 并以编程方式检查用户授权 我需要监控每个 API 密钥的 API 端点的使用情况。此外，API 密钥安全性足以满足我的用例。

API 密钥我设法限制我的 API 密钥访问我的 Cloud Endpoints API，但是，我没有看到任何选项允许我的密钥仅访问云的某些路径端点 API。

我也相信像 Apigee 这样的服务可以满足我的需要，但我的预算 (POC) 很低，所以我认为它不适合我，我更愿意只使用 GCP 产品。

问题

Cloud Endpoints 是否针对我的用例提出了开箱即用的解决方案？如果是这样，我该怎么办？

如果没有，是否可以：

使用 Cloud Functions 创建另一个代理，以检查 Firestore 数据库是否允许 API 密钥访问请求的方法？逻辑如下：使用 Google 提供的 API 密钥的用户请求 -> Cloud Endpoints 批准 -> 自定义代理功能批准 -> 微服务执行

自定义 ESP 以满足我的用例

自己管理所有 API 身份验证（看起来工作量很大）

【参考方案1】：

TL;DR：使用 Cloud Endpoint 是不可能的

使用 Cloud Endpoint 需要了解的事项和限制很少：

Cloud Endpoint 执行身份验证，而不是授权。简而言之，检查您的用户凭据（auth0、OAuth2、Firebase auth、API Key）是否有效。 仅对于 API 密钥，您可以将密钥限制为一个或多个服务 URL。然后，如果需要，您可以在此处将 API 密钥限制为仅一个 Cloud Endpoint。 API 密钥“验证”GCP projet, not a user, not an account。 如果您在同一个项目中创建 2 个密钥，您将无法区分请求者 -> 您必须为每个客户创建 1 个项目并在每个项目上生成一个 API 密钥 （与上一点相关）API Keys 不能通过脚本自动创建。您必须在控制台上手动执行此操作（如果您有很多客户要注册，或者如果您想要自动注册，那就很难了） 为什么？ Google doesn't recommend to use API Key for authentication 并阻止与这个储物柜之王一起使用

使用这些输入，您可以自行设计解决方案：您可以自己执行授权检查（您提到的代理），而不是在 API 密钥字符串值上，而是在 project_id 上。我推荐你这个解决方案，因为你可以add quotas and rate limit on API Keys(I wrote an article on this)

你也可以实现自己的授权过程（甚至你自己的API Key生成，最后只是一个字符串！），更复杂...

【讨论】：

非常感谢您的回复！如果我理解正确，对我来说最好的解决方案是以编程方式为每个用户创建一个项目（似乎有点矫枉过正，也许这是我的一个误解？），然后使用 Cloud Endpoints 后面的反向代理进行授权，使用项目 ID。我会使用与 Cloud Endpoints 相同的 openAPI 规范。我只需要重写 x-google-backend 扩展，对吗？但我根本不明白的是，为什么我们不能简单地使用 API 密钥而不是项目 ID 来执行此操作，因为在我的理解中，1 API 密钥 = 1 用户（错误的假设？）

附带说明，我认为现在可以以编程方式创建 API 密钥，请参阅测试版中的 feature。

不错的收获！！ -> 最后更新于 2020 年 5 月 7 日。 3天前我不知道这个！因此，创建现在更容易了！！但是，它显然不能解决您的最新假设（1API 密钥 = 1 个用户）。查看用于创建 API 密钥的 API 调用gcurl https://apikeys.googleapis.com/v2beta1/projects/PROJECT_NUMBER/keys -> 您没有提及任何电子邮件，仅提及项目编号。 Cloud Endpoint 验证后您将在 API 中获得的数字。

我应该提到的是，我可以将我创建的每个 API 密钥映射到特定用户。事实上，我将成为从我的 CRM 创建 API 密钥的人，在那里我拥有有关用户的所有信息（它是一个私有 API），然后我将 API KEY 交给用户。在这方面，我认为这是实现 1 API key = 1 User 的解决方法，对吗？通过这种解决方法，我认为我应该能够使用 Cloud Endpoints 功能，例如配额和监控，并将日志映射到每个 API KEY（即每个 CRM 客户端）。

至于微服务的授权限制，我会按照上面讨论的做一个反向代理。对于对此主题感兴趣的其他人，AWS Api Gateway 和 Lambda 授权者也可以成为该问题的（更简单/开箱即用的）解决方案。 @guillaume blaquiere 谢谢你的帮助！继续在 Medium 上的出色工作，你的文章真的很有帮助，事实上，我已经阅读了其中一些 eheh :) ！