是否有必要在AppEngine标准Python 3.7运行时中从IAP验证签名的 header ?
IAP文档中没有提及Python 3.7运行时的细节。
IAP documentation说:
用户API对于标准3.7不可用。签名 header 是。验证标题是可能的。
我可以看到AppEngine环境添加了一些标题。我想知道X-Appengine-值是否可以隐式信任(即AppEngine在验证来自IAP的 header 后是否附加这些值)?
X-Appengine-User-Id: <user id>
X-Appengine-Auth-Domain: <domain>
X-Appengine-User-Email: <user email>
...
X-Goog-Iap-Jwt-Assertion: <assertion>
X-Goog-Authenticated-User-Email: accounts.google.com:<user email>
X-Goog-Authenticated-User-Id: accounts.google.com:<user id>
最佳答案
从App Engine-specific headers:
因此,可以相信他们不会来自GAE之外。但是我不确定它们与下面的IAP有何关系。
由于不支持Users API,因此我将遵循有关灵活环境的建议,从这个角度来看,该环境似乎更接近Python3运行时-我将验证签名的 header 。
关于google-app-engine - IAP签名 header 和AppEngine标准Python 3.7运行时,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/52205925/