如何验证来自 HTTP 请求的 Google Cloud Task 令牌？

Posted 2023-02-16

【中文标题】如何验证来自 HTTP 请求的 Google Cloud Task 令牌？

【英文标题】：How do I verify a Google Cloud Task token from an HTTP request?

【发布时间】：2020-09-09 20:55:39

【问题描述】：

我正在尝试实现Google Cloud Task queues with a HTTP Target。我已经为 App Engine 使用了队列，但在迁移到 Cloud Run 时，我希望使用相同的队列系统。我已经实现了调度程序代码，但与 App Engine 不同，我不能信任标头，所以我知道我需要使用身份验证令牌验证请求，但我很难理解它？我也在做很多假设。我正在尝试用 php 构建它，所以如果可能的话，最好在 PHP 中看到一个示例，但即使只是流程的一些 Psuedo 代码也会很有用。

我的第一个假设是最好使用 OIDC 令牌？基于：

如果您在目标服务中编写自己的代码来验证 令牌，您应该使用 OIDC 令牌。有关什么的更多信息 这需要，请参阅 OpenID Connect，尤其是验证 ID 令牌。

为此，我已经 read the linked heading，但老实说，这对我来说并不是很清楚。

其次，令牌将在 Authorization 标头中作为 Bearer <token>?

第三，我想我应该使用类似包firebase/php-jwt 的东西来解码令牌。但是我该如何准确解码呢？我的服务 JSON 文件只有一个私钥，我需要从云控制台获取公钥吗？一旦我这样做了，我需要查看令牌的特定部分来验证请求吗？还是我可以将其解码为有效的 JSON 就足够了？

每次我阅读一些关于如何做到这一点的文档时，我都认为我离答案越来越近了，但我现在花费的时间比我想要的要长得多，而且当谷歌文档很少时，这有点令人沮丧似乎只是指出我需要做什么。

【参考方案1】：

可以参考链接：https://developer.okta.com/blog/2019/05/07/php-token-authentication-jwt-oauth2-openid-connect

有关如何使用身份验证令牌创建用于云运行的 http 任务的更多信息。请注意，代码是针对 python、jave、GO 和 node.js 给出的。但它会让您了解流程。

授权标头（https://developer.okta.com/docs/reference/api/oidc/）的请求示例：

curl -v -X POST -H "授权：承载 $access_token" "https://baseUrl/userinfo"

有关如何解码令牌的信息：

https://developer.okta.com/blog/2019/05/07/php-token-authentication-jwt-oauth2-openid-connect