sts1 命令行界面（CLI）允许您从终端舒适地使用Google云安全令牌服务的多数功能。

默认情况下，所有输出都打印到标准输出，但可以通过设置标志将其直接导向文件，而不受您的shell功能限制。错误将打印到标准错误，并导致程序退出代码非零。

如果请求数据结构，这些将以格式化的JSON返回，可作为其他工具的输入。

有关云安全令牌API的其他信息，请参阅官方文档网站。

安装和源代码

使用cargo安装命令行界面：

cargo install google-sts1-cli

在github上找到源代码。

用法

此文档是根据修订版 20240222 的 云安全令牌API 生成的。CLI的版本是 5.0.4。

sts1 [options]
        methods
                introspect (-r <kv>)... [-p <v>]... [-o <out>]
                oauthtoken (-r <kv>)... [-p <v>]... [-o <out>]
                token (-r <kv>)... [-p <v>]... [-o <out>]
  sts1 --help

Configuration:
  --config-dir <folder>
            A directory into which we will store our persistent data. Defaults to
            a user-writable directory that we will create during the first invocation.
            [default: ~/.google-service-cli]

配置

程序将在 ~/.google-service-cli 目录中存储所有持久数据，该目录以 sts1- 前缀的 JSON 文件开头。您可以使用 --config-dir 标志在每次调用的基础上更改用于存储配置的目录。

以下段落提供了有关各种类型持久数据的更多信息。

身份验证

大多数API需要用户对任何请求进行身份验证。如果是这种情况，作用域 确定了授予的权限集。这些的粒度通常不超过 只读 或 完全访问。

如果未设置，系统将自动选择最小的可行范围，例如，在调用只读方法时，它只会请求只读范围。您可以使用 --scope 标志直接指定范围。所有适用的范围都在相应方法的 CLI 文档中有记录。

首次使用范围时，会询问用户权限。根据 CLI 指示授予权限或拒绝。

如果用户验证了范围，相关信息将作为 JSON 存储在配置目录中，例如 ~/.google-service-cli/sts1-token-<scope-hash>.json。无需手动管理这些令牌。

要撤销授权的认证，请参阅 官方文档。

应用程序密钥

为了允许任何应用程序使用 Google 服务，需要使用 Google 开发者控制台 进行注册。应用程序可能使用的 API 将逐一启用。大多数 API 可以免费使用，并设有每日配额。

为了使 CLI 使用更舒适，而无需强制任何用户注册自己的应用程序，CLI 内置了一个默认应用程序密钥，并据此进行配置。这也意味着全球范围内的密集使用可能会耗尽每日配额。

您可以通过在此位置放置自己的密钥文件来解决这个问题：~/.google-service-cli/sts1-secret.json，假设已为它启用了所需的 sts API。此类密钥文件可以从 Google 开发者控制台 在 APIs & auth -> Credentials -> Download JSON 下载并直接使用。

有关如何设置 Google 项目和启用 API 的更多信息，请参阅 官方文档。

调试

尽管 CLI 尽力提供可用的错误消息，但有时了解导致特定问题的确切原因可能很有用。这是通过允许所有客户端-服务器通信以 原始形式 输出到标准错误来完成的。

--debug 标志会将错误以 Debug 表示形式打印到标准错误。

您可以考虑将标准错误重定向到文件以方便使用，例如 sts1 --debug <resource> <method> [options] 2>debug.txt。