google-cloud-auth

Google Cloud Platform 服务器应用程序身份验证库。

安装

[dependencies]
google-cloud-auth = <version>
google-cloud-token = "0.1.2"

快速入门

#[tokio::main]
async fn main() -> Result<(), error::Error> {
    use google_cloud_auth::{project::Config, token::DefaultTokenSourceProvider};
    use google_cloud_token::TokenSourceProvider as _;

    let audience = "https://spanner.googleapis.com/";
    let scopes = [
        "https://www.googleapis.com/auth/cloud-platform",
        "https://www.googleapis.com/auth/spanner.data",
    ];
    let config = Config {
        // audience is required only for service account jwt-auth
        // https://developers.google.com/identity/protocols/oauth2/service-account#jwt-auth
        audience: Some(audience),
        // scopes is required only for service account Oauth2
        // https://developers.google.com/identity/protocols/oauth2/service-account
        scopes: Some(&scopes),
        sub: None,
    };
    let tsp = DefaultTokenSourceProvider::new(config).await?;
    let ts = tsp.token_source();
    let token = ts.token().await?;
    println!("token is {}", token);
    Ok(())
}

DefaultTokenSourceProvider::new(config) 将在以下位置查找凭证，优先查找第一个找到的位置

1. 一个由 GOOGLE_APPLICATION_CREDENTIALS 环境变量指定的路径的 JSON 文件。
2. 一个已知于 gcloud 命令行工具的位置的 JSON 文件。在 Windows 上，这是 %APPDATA%/gcloud/application_default_credentials.json。在其他系统上，$HOME/.config/gcloud/application_default_credentials.json。
3. 在 Google Compute Engine 上，它从元数据服务器获取凭证。

支持的凭证

• 服务账户（JWT）
• 服务账户（OAuth 2.0）
• 授权用户
• 外部账户
• Google 开发者控制台 client_credentials.json

支持的 Workload Identity

https://cloud.google.com/iam/docs/workload-identity-federation

• AWS
• Azure Active Directory
• 本地 Active Directory
• Okta
• Kubernetes 集群