问题标签 [google-iap]

是否有必要在 AppEngine 标准 Python 3.7 运行时中验证来自 IAP 的签名标头？

IAP 文档没有提及 Python 3.7 运行时的细节。

IAP文档说：

• AppEngine 标准版应使用用户 API
• 需要验证才能保护 AppEngine Flex 中的应用程序

用户 API 不适用于 Standard 3.7。签名的标题是。验证标题是可能的。

我可以看到 AppEngine 环境添加了一些标头。我想知道是否可以隐式信任 X-Appengine- 值（即，AppEngine 在验证 IAP 的标头后是否附加这些值）？

所以事情就是这样——我有一个用于我的 Android 应用程序的 node.js 后端服务器。我正在使用 Google Play 计费库，并按照 google Docs 的建议使用后端验证购买。

现在，关于这个错误的所有其他答案似乎都指的是一个一致的问题。

我的后端有时会进行验证，有时会将此作为错误返回，这表明实际上我的服务帐户已链接（如我的控制台中所示）。

我尝试了两个不同的 3rd 方库，但我遇到了同样的问题。有时一个会回复验证成功，而另一个会说我的帐户未关联。有时它们都是消极的，有时它们都是积极的。

似乎不一致。

我还尝试了不同的库，得到了相同的结果：

还有其他人遇到这个问题吗？

我在 GCS 存储桶中有一些内容：

我想使用身份识别代理 (IAP) 在 OAuth 后面提供此服务。我正在按照这些说明进行操作。

我创建了一个负载均衡器和“后端存储桶”，如下所示：

但是，在 Identity-Aware Proxy 页面上，我没有看到我的负载均衡器列出：

是否可以将 IAP 与后端存储桶一起使用？

语境

我在 Google AppEngine 灵活环境中有一些服务通过 API 进行通信，同时我使用 IAP 来管理用户访问。我必须使用 Bearer JWT 令牌以编程方式对每个服务进行身份验证。

问题

在我的 Java 应用程序中，我使用 google 提供的代码来验证 IAP 服务，您可以在此处找到：https ://cloud.google.com/iap/docs/authentication-howto#iap_make_request-java

问题出在这段代码中：

该createScoped方法正在返回一段ComputeEngineCredentials时间，代码需要一个ServiceAccountCredentials响应对象。

欢迎所有建议。提前感谢有史以来最伟大的社区。

我有一个带有 www.domain.tld/admin 命名空间的 Web 应用程序，我希望使用 Google IAP 对其进行保护。

但是，我不想限制对我们面向公众的网站 www.domain.tld 的访问。

有什么策略可以让我们的网站完全开放访问，同时限制对“管理员”的访问？

我正在使用Google Cloud IAP（身份识别代理）来限制对在不同子域（ 、 等）上运行的多个服务的a.mycompany.com访问b.mycompany.com。

当我登录 时a.mycompany.com，我希望它也能登录b.mycompany.com。当我通过这些 URL 之一进行身份验证时，我set-cookie会在最终重定向中看到此标头：

我的理解是，我可以通过向其添加 domain=子句来共享此 cookie。是否可以使用 GCP IAP 执行此操作？

我在 GCP 的 App Engine 上运行了一个 RESTful 服务，该服务由 IAP 保护。我想从 Web 应用程序调用这些方法，但不确定如何设置身份验证。Web 应用程序是用 TypeScript / Angular 编写的。任何指导/示例将不胜感激！

我正在尝试从第三方 JavaScript 集成对我的 Web api 服务器进行 ajax 调用。但是，在我的 API 服务器上启用 IAP 后，我无法从我的集成服务器调用我的 Web api。我已将我的集成服务器添加为 Web 应用程序的客户端 ID 中的授权 JavaScript 源。

下面是错误。

从源“ https://myintegration.com ”访问“ https://webapiserver.com/apiendpoint1 ”处的 XMLHttpRequest已被 CORS 策略阻止：请求的资源上不存在“Access-Control-Allow-Origin”标头.

如果我最后缺少其他配置，请告诉我。谢谢。

使用 App Engine 在 GCP 中运行并受 IAP 保护的应用。据我所知，IAP 使用 OAuth，但是当我在浏览器中打开应用程序并检查传出的 XHR 请求时，我看不到其中任何一个 HTTP 授权标头。不过，cookie 中似乎确实有一个令牌，名为 GCP_IAAP_AUTH_TOKEN。只是想知道这是否仍被视为 OAuth 还是其他形式的身份验证？

我有一个用例，我需要使用扇出入口（不同的路径）集成两个不同的服务。我决定这样做是因为这两个服务实际上是相关的，所以我不想分离域。另一个原因是我不想使用另一个入口。但是，出现了这个问题，我知道一旦我激活了 Google IAP，就会创建一个新的 clientId 和 secretId。并且重定向 javascript url 应该是一个域（不包括任何路径或通配符形式）。

我正在尝试访问 https://{my-domain}/{some-path}。事实证明我收到以下错误。

400. 那是一个错误。

错误：redirect_uri_mismatch

请求中的重定向 URI https://{my-domain}/_gcp_gatekeeper/authenticate 与授权给 OAuth 客户端的不匹配。要更新授权的重定向 URI，请访问： https ://console.developers.google.com/apis/credentials/oauthclient/

这是我的入口配置：

但是，当我尝试访问我的第一个服务时，它就可以正常工作并按预期工作。

只是想知道是否可以使用相同的入口为两个不同的后端服务创建 IAP。我无法找到更多关于此的信息。谢谢！

最好的，