我今天按照这个指南尝试使用Google云函数:https://cloud.google.com/functions/docs/quickstart
我创建了一个具有HTTP触发器的函数,并能够执行POST请求以触发函数写入Datastore。
我想知道是否有一种方法可以保护此HTTP端点?目前似乎它将接受来自任何地方/任何人的请求。
在谷歌搜索时,我看到大多数结果都是关于使用Firebase来保护内容的。但是,在这里我没有使用Firebase服务。
我的选择是让其保持开放状态,并希望没有人知道URL端点(安全性通过模糊性),还是在函数本身中实现自己的身份验证检查?
进一步研究后,参考@ricka的回答,我决定在我的云函数中实现身份验证检查,并通过Authorization头访问令牌以JWT令牌的形式传递。
以下是Node的实现:
const client = jwksClient({
cache: true,
rateLimit: true,
jwksRequestsPerMinute: 5,
jwksUri: "https://<auth0-account>.auth0.com/.well-known/jwks.json"
});
function verifyToken(token, cb) {
let decodedToken;
try {
decodedToken = jwt.decode(token, {complete: true});
} catch (e) {
console.error(e);
cb(e);
return;
}
client.getSigningKey(decodedToken.header.kid, function (err, key) {
if (err) {
console.error(err);
cb(err);
return;
}
const signingKey = key.publicKey || key.rsaPublicKey;
jwt.verify(token, signingKey, function (err, decoded) {
if (err) {
console.error(err);
cb(err);
return
}
console.log(decoded);
cb(null, decoded);
});
});
}
function checkAuth (fn) {
return function (req, res) {
if (!req.headers || !req.headers.authorization) {
res.status(401).send('No authorization token found.');
return;
}
const parts = req.headers.authorization.split(' ');
if (parts.length != 2) {
res.status(401).send('Bad credential format.');
return;
}
const scheme = parts[0];
const credentials = parts[1];
if (!/^Bearer$/i.test(scheme)) {
res.status(401).send('Bad credential format.');
return;
}
verifyToken(credentials, function (err) {
if (err) {
res.status(401).send('Invalid token');
return;
}
fn(req, res);
});
};
}
jsonwebtoken来验证JWT令牌,使用jwks-rsa来检索公钥。我使用Auth0,因此jwks-rsa会访问公钥列表以检索它们。
然后可以使用checkAuth函数来保护云函数,如下所示:
exports.get = checkAuth(function (req, res) {
// do things safely here
});
curl -X POST -H "Content-Type: application/json" \
-H "Authorization: Bearer access-token" \
-d '{"foo": "bar"}' \
"https://<cloud-function-endpoint>.cloudfunctions.net/get"
三年后,我仍在为同样的问题纠结了一整天,而谷歌的文档并没有很好地解释。对于那些不想使用代码实现(像我一样)的人,我在下面概述如何仅使用GCP控制台对Cloud Functions进行身份验证。以下是一个示例,它将HTTP触发器验证到一个新的服务帐户,然后安排在Cloud Scheduler中运行。您可以进一步扩展和通用化以满足其他需求。
假设: 1.您已经创建了一个使用HTTP的Cloud Function,并使其需要身份验证。 2.在执行测试运行时,您的功能可以正常工作。这很重要,您不希望以后一次解决两个或更多的问题。 3.您知道如何使用GCP网页浏览器控制台。
步骤:
我建议创建一个新的服务帐户,用于调用HTTP Cloud Function的任务。通过GCP的“IAM和管理”页面完成此操作。转到“服务帐户”,然后单击“创建新帐户”
命名您的新服务帐户。基于您的命名,将自动生成一个服务帐户ID。它看起来像是GCP服务帐户电子邮件。“@yourproject-name.iam.gserviceaccount.com”。复制此内容以备后用。单击“创建”按钮完成新帐户的创建。
在下一页中,您需要为服务账户选择一个角色。最佳实践是仅运行函数的“Cloud Functions Invoker”。单击“继续”按钮。您可以跳过第三部分(授予用户访问该服务账户的权限)。
现在,将此新服务账户添加到需要受保护的云函数中。进入Cloud Function面板,并勾选函数名称左侧的框。然后在同一面板的右上方,单击“显示信息面板” - 注意屏幕上需要进行身份验证。(必须从此处添加,而不是从函数“权限”页面添加,您无法从那里添加新成员。)
现在将服务账户添加为新成员。将您之前复制的服务账户电子邮件粘贴到红框中的空白字段中。您必须输入电子邮件帐户,仅输入名称将无法正常工作。对于“角色” - 在下拉菜单中再次选择“Cloud Functions Invoker”。点击“保存”。
在 Cloud Function 的属性中,有提供的 HTTP 触发器,请复制您的触发器并将其保留以备后用。
现在进入 Google Cloud Scheduler 并选择一个计划任务(如果你还没有计划任务,可以创建一个。下面的屏幕截图显示已经创建了一个计划任务)。
选中计划任务框后,点击“编辑”按钮,将会出现下面的屏幕截图。在最初的界面底部选择“显示更多”以查看所有字段。与权限相关的重要字段如下:
对于“URL”- 粘贴步骤 6 中复制的触发器 URL。
对于“Auth Header”选择 OIDC token。这些由 GCP 管理,足以进行身份验证。
对于“Service Account”,粘贴上面步骤中使用的相同账号。
“Audience”将自动填充,无需输入任何内容。
完成后,根据您的入口点,单击“更新”或“保存”按钮。
返回到 Cloud Scheduler 仪表板,通过点击“立即运行”按钮来运行你的函数。如果一切顺利,它应该会运行并显示“成功”的状态。如果没有,请查看日志以了解发生了什么。
现在,你知道已为你的认证 Cloud Function 创建了服务帐户。从这里开始,你可以按照你的项目需求,在此服务帐户的上下文中执行各种操作。
作为检查,请确保将 HTTP 触发器 URL 粘贴到浏览器中以确保它无法运行。你应该会收到以下“禁止访问”:
你不应该“开着门希望没人知道”。你可以实现自己的安全检查,或者您可能想尝试使用Google Function Authorizer模块(https://www.npmjs.com/package/google-function-authorizer)。
就目前而言,看起来已经进行了一些升级,Google Cloud Functions现在支持两种身份验证和授权类型:Identity and Access Management(IAM)和OAuth 2.0。文档可以在这里找到。
目前似乎有两种方法来保护 Google Cloud Function HTTP 端点。
1)使用难以猜测的函数名称(例如:my-function-vrf55m6f5Dvkrerytf35)
2)在函数本身中检查密码/凭据/签名请求(使用标头或参数)
最好同时采用这两种方法。