gpt4 book ai didi

firebase - Google API 的 Google OAuth 2.0 范围与 Google Cloud 上的 IAM 中的角色和权限有何不同?

转载 作者:行者123 更新时间:2023-12-05 02:42:42 33 4
gpt4 key购买 nike

我试图破译来自 Error: Could not load the default credentials. context: firebase login:ci AND firebase auth:export 的以下错误消息中“范围”的含义:

[2021-04-27T20:48:23.188Z] > command requires scopes: ["email","openid","https://www.googleapis.com/auth/cloudplatformprojects.readonly","https://www.googleapis.com/auth/firebase","https://www.googleapis.com/auth/cloud-platform"]
[2021-04-27T20:48:26.208Z] Error: Could not load the default credentials. Browse to https://cloud.google.com/docs/authentication/getting-started for more information.
at GoogleAuth.getApplicationDefaultAsync (/home/node/.npm-global/lib/node_modules/firebase-tools/node_modules/google-auth-library/build/src/auth/googleauth.js:160:19)
at processTicksAndRejections (internal/process/task_queues.js:97:5)
at runNextTicks (internal/process/task_queues.js:66:3)
at listOnTimeout (internal/timers.js:518:9)
at processTimers (internal/timers.js:492:7)
at async GoogleAuth.getClient (/home/node/.npm-global/lib/node_modules/firebase-tools/node_modules/google-auth-library/build/src/auth/googleauth.js:502:17)
at async GoogleAuth.getAccessToken (/home/node/.npm-global/lib/node_modules/firebase-tools/node_modules/google-auth-library/build/src/auth/googleauth.js:524:24)
Error: An unexpected error has occurred.

如果我了解什么是“范围”,我也许就能弄清楚在哪里设置它们。到目前为止,我只找到了在 IAM 中为我的用户设置角色和权限的地方。

以下是我能找到的定义:

角色和权限 ( source )

A role contains a set of permissions that allows you to performspecific actions on Google Cloud resources. To make permissionsavailable to members, including users, groups, and service accounts,you grant roles to the members.

范围(sourcesource)

Access scopes are the legacy method of specifying permissions for yourinstance. They define the default OAuth scopes used in requests fromthe gcloud tool or the client libraries.

当我尝试运行 firebase --debug auth:export 时出现错误消息使用 firebase login:ci 生成的 OAuth token 并使用 firebase use --token 在我的脚本中应用。 OAuth token 是使用拥有我的 Firebase 项目的 Google 用户 ID 生成的。该用户在 Google Cloud IAM 页面上具有“所有者”角色(即 https://console.cloud.google.com/iam-admin/iam )。

当 Google Cloud IAM 页面仅允许您设置角色权限时,如何为我的 Google 用户 ID 设置所需的范围

最佳答案

我不熟悉 Firebase,但我确实知道:

Error: Could not load the default credentials

这告诉您没有找到(应用程序)默认凭据。您可以通过执行以下命令使用 Google 用户帐户生成默认凭据:

gcloud auth application-default login

还有其他选择。我写了一整blog post on application default credentials你可能会觉得有趣。

为了回答你的另一个问题,恐怕我会有点罗嗦......

OAuth

范围是 OAuth 的一个术语;范围并不特定于 GCP 甚至 Google。 OAuth 是一种用于授权 的协议(protocol),在整个 Internet 上得到广泛使用。完全理解 OAuth 并非易事。

OAuth 关注的“各方”是:

  • 资源(您尝试访问的 GCP 服务),
  • 最终用户(你,Michael)
  • 授权服务器(谷歌账户服务)和
  • 客户端(在本例中为 firebase CLI;您希望代表您执行的程序)。

OAuth 关注的问题如下:作为最终用户,您有权对资源进行操作。您希望客户端能够代表您对资源进行操作。为此,您使用授权服务器登录,并为客户端获取一个 secret token ; OAuth 规范中详细定义了如何具体执行此操作。该资源将拥有此类 token 的任何人识别为代表最终用户“发言”。通过向客户提供 token ,您将最终用户权限“委派”给客户。

范围

无论如何...范围从何而来?在像上面这样的交互中,您不一定要将您在资源上拥有的权限全部委托(delegate)给客户端。因此,您可以将“范围”绑定(bind)到 token 。范围告诉资源, token 持有者可能不会代表最终用户执行所有操作,而只能执行某些操作。 OAuth 协议(protocol)没有定义特定范围的含义。范围是自由格式的字符串,资源应该知道如何解释它们。

内部管理

另一方面,IAM 定义了最终用户对资源的权限,也就是说,它定义了 Google 帐户在处理 GCP 资源时可以做什么。自然地,您的 Google 帐户不能将权限委托(delegate)给它本身没有的客户端,即使它可以创建具有非常广泛范围的 token 。

如果 Google 收到启动 GCE 实例的请求,它会首先检查该请求是否由具有足够范围的有效、可信 token 签名。如果检查通过,Google 会检查“支持” token 的最终用户是否真的有权使用 IAM 执行请求的操作。

在您上面的示例中:您是所有者,因此您拥有大量 IAM 权限。但是,如果您生成的 token 不包含适当的范围,则该 token 不具有该权限,并且 firebase 发送到 GCP 的请求将无法通过第一次检查。

遗产?

范围的概念不是遗留的,但 GCP 使用范围来调节进程权限的方式是遗留的。

过去,GCP 上的进程通常使用具有非常广泛 (IAM) 权限的通用身份运行,例如默认计算帐户。进程的权限受到为它们生成的 token 的范围限制。

IAM 更强大,可以在更细粒度的级别定义为范围。如今,我们为不同的进程定义了具有最小权限的自定义身份。给定适当的 IAM 权限,我们可以简单地创建具有非常广泛范围的 token ,例如 https://www.googleapis.com/auth/cloud-platform

关于firebase - Google API 的 Google OAuth 2.0 范围与 Google Cloud 上的 IAM 中的角色和权限有何不同?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/67341349/

33 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com