我们目前有一个 App Engine 应用程序和一些 Google Compute Engine 后端。不幸的是,App Engine 不被视为“网络内”,因此为了让 App Engine 向后端服务器发出请求,相关端口必须在防火墙中公开可用,这显然存在安全风险。如果我们的 App Engine 应用程序可以通过使用服务帐户客户端发出请求来自动“签署”所有请求到我们的后端,那将非常方便。这可能吗?
同样,我也想在另一个方向上这样做,只要请求是从 GCE 服务帐户发出的,来自我们 GCE 服务器的请求就可以由 App Engine 进行身份验证。我天真地尝试了后者,方法是从 GCE 向应用引擎上的测试处理程序发出请求,该处理程序检查当前用户(通过用户服务),但不出所料,用户为空(因为“用户”和“服务帐户”并不完全是同样,我没想到这会起作用-但是值得一试)。
网络上有相当多的信息用于发出服务帐户身份验证的请求(例如,谷歌 API),但我找不到任何关于验证传入请求的信息。这样的事情存在吗?(理想情况下在 Go 中)