如何在没有默认凭据文件的情况下授权 Google 服务帐户?

问题描述 投票:0回答:4

我有一个 Google 服务帐户,我的应用程序使用它从 Google Analytics 检索数据。

当我创建帐户时,我下载了一个 

client_secrets
文件,其中包含通过 OAuth 授权所需的所有信息,并且根据 
Google 文档
,我将该文件的路径记录在名为 GOOGLE_APPLICATION_CREDENTIALS 的环境变量中。

我现在可以像这样获得经过身份验证的客户端:

authorization = Google::Auth.get_application_default(scopes)

此方法从文件中读取凭据,该方法在本地工作,但我的应用程序托管在 Heroku 上,无法存储文件。

文档指出我可以提供此文件(不能),在官方 Google 服务上运行我的应用程序(不会),或者遇到错误。

如何在没有 

client_secrets
文件的情况下验证我的服务帐户?

ruby heroku oauth google-api-ruby-client
4个回答
27
投票

我在google-auth-library-ruby gem 的

源代码
中找到了答案。

事实证明,还有另一种选择:从 

client_secrets
文件中获取值,并将它们分别放入名为 
GOOGLE_ACCOUNT_TYPE
GOOGLE_CLIENT_ID
GOOGLE_CLIENT_EMAIL
GOOGLE_PRIVATE_KEY
的环境变量中。

如果填充了这些密钥,凭据将从那里加载。不过,文档中并没有提到这一点。

7
投票

由于这是在谷歌搜索“google service credential ruby”时返回的主要结果之一,我想我会将我最近的经验添加到可能的答案列表中。

虽然您可以执行第一个答案中提到的方法,但我找到了一种与 Heroku 配合良好的替代解决方案。我知道在另一篇文章中已经提到了这一点,但遗漏的关键是如何正确存储完整的 GOOGLE_APPLICATION_CREDENTIALS .json 文件,以便它可以全部保存在 Heroku 上的一个环境中,并且不会有特殊字符炸毁您的应用程序当尝试

我详细说明了我的步骤:

  1. 按照此处 Google 的说明获取 GOOGLE_APPLICATION_CREDENTIALS json 文件:身份验证入门
  2. 当然,这将包含一个 json 对象,其中包含 Heroku 根本不需要的所有空格、换行符和引号。因此,删除所有空格和换行符...并注意此处 -> 除了“开始私钥”段中的换行符。基本上把json变成一长串。使用您觉得舒服的任何方法。

  3. 一旦您拥有删除了空格和换行符的单行 json 文件,您将需要通过运行以下命令将其添加到 Heroku:

    heroku config:set GOOGLE_APPLICATION_CREDENTIALS="$(< /Users/whoever/Downloads/[CREDENTIAL_JSON_FILENAME].json)" --app your-app

  4. 对于我的情况,我需要在初始化时提供可用的服务帐户,因此我将其放置在我的 Rails 应用程序的初始化程序中:

    GOOGLE_SERVICE_ACCOUNT_CREDENTIALS=Google::Auth::ServiceAccountCredentials.make_creds(
  json_key_io: StringIO.new(ENV['GOOGLE_APPLICATION_CREDENTIALS'])
)

注意 

StringIO.new()
方法。 
#make_creds
想要一个文件。因此,使用 
StringIO.new
来伪造它。

这个方法非常有效。

如果您需要它在本地计算机上以不同的方式工作,您始终可以将 .json 存储在项目中的某个位置,并通过文件位置字符串引用它。这是我的完整初始化程序:

require 'googleauth'

#https://www.rubydoc.info/github/google/google-auth-library-ruby/Google/Auth/ServiceAccountCredentials 
if Rails.env == "test"
  GOOGLE_SERVICE_ACCOUNT_CREDENTIALS = 
Google::Auth::ServiceAccountCredentials.make_creds(
    json_key_io: File.open('lib/google/google_application_credentials.json')
  ) 
elsif Rails.env != "development"
    GOOGLE_SERVICE_ACCOUNT_CREDENTIALS = 
Google::Auth::ServiceAccountCredentials.make_creds(
    json_key_io: StringIO.new(ENV['GOOGLE_APPLICATION_CREDENTIALS'])
  ) 
end

如果您使用像 dotenv 这样的 gem,您可以将格式化的 json 字符串存储为 ENV,或者您可以只引用 ENV 中的文件位置

我希望这对某人有帮助。

0
投票

如果在 Google Kubernetes Engine (GKE) 的集群中运行应用程序,那么答案是

https://googleapis.dev/ruby/googleauth/latest/Google/Auth/GCECredentials.html

authorizer = Google::Auth::GCECredentials.new(target_audience:)
authorizer.fetch_access_token["id_token"]

只是记下这一点,因为这个答案是我在尝试弄清楚如何使其发挥作用时得到的最佳结果之一。

-1
投票

我发现了这个

require "google/cloud/bigquery"

ENV["BIGQUERY_PROJECT"]     = "my-project-id"
ENV["BIGQUERY_CREDENTIALS"] = "path/to/keyfile.json"

bigquery = Google::Cloud::Bigquery.new

更多详情:

https://github.com/googleapis/google-cloud-ruby/blob/master/google-cloud-bigquery/AUTHENTICATION.md

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.