Trying to authenticate a service account with firebase-admin from a Cloud Scheduler call? Error: Firebase ID token has incorrect "iss" (issuer) claim

Question

我正在尝试验证从 Cloud Scheduler cron 作业对我的服务器（在云 运行 上）发出的 API 调用。

我正在尝试为此使用服务帐户。

注意：这一切都发生在同一个项目中。

参考文献：

• https://cloud.google.com/scheduler/docs/http-target-auth

这就是我正在做的事情：

第 1 步 - 创建服务帐户

我去了 https://console.cloud.google.com/apis/credentials 并创建了一个新的服务帐户。我已将角色分配为 owner.

第 2 步 - 创建 cron 作业。

我去 https://console.cloud.google.com/cloudscheduler 像往常一样创建了 cron 作业。

在 service account 字段中，我输入了我的服务帐户电子邮件。在 Audience 字段中，我输入了我的项目 ID，因为在某些时候我收到一条错误消息，提示它应该是我的项目 ID 的名称。

这是错误：

Firebase ID token has incorrect "aud" (audience) claim. Expected "PROJECT_ID"

第 3 步 - 运行完成作业并识别解码令牌：

这是我服务器上的代码：

import * as admin from "firebase-admin";

admin.initializeApp({
  credential: admin.credential.cert(
    // THIS IS THE DEFAULT FIREBASE-ADMIN SERVICE ACCOUNT
    // THAT IS AUTOMATICALLY CREATED BY FIREBASE
    SERVICE_ACCOUNT as admin.ServiceAccount
)});

// THIS IS THE CODE THAT IS INSIDE MY SERVER TRYING TO VERIFY THE SERVICE ACCOUNT

try {
  const authHeader = req.headers.authorization;
  console.log(`authHeader: ${authHeader}`);
  if (authHeader) {
    const idToken = authHeader.split(" ")[1];   // GETS THE USER ID TOKEN
    const decodedToken = await admin.auth().verifyIdToken(idToken);
    console.log(`decodedToken: ${decodedToken}`);
  }
}

这是我目前遇到的错误：

Firebase ID token has incorrect "iss" (issuer) claim. Expected "https://securetoken.google.com/"my-project-id" but got "https://accounts.google.com". Make sure the ID token comes from the same Firebase project as the service account used to authenticate this SDK. See https://firebase.google.com/docs/auth/admin/verify-id-tokens for details on how to retrieve an ID token.

我这样做有什么问题吗？我不应该为此使用 firebase-admin 吗？

我应该使用 google-auth-library 来验证令牌吗？

• https://github.com/googleapis/google-auth-library-nodejs#verifying-id-tokens
• https://developers.google.com/identity/sign-in/web/backend-auth

Answer 1

在苦苦挣扎了一早上之后，我发现了以下内容。

似乎 firebase-admin 的 admin.auth().verifyIdToken() 仅适用于从 firebase SDK 生成的令牌。

我直接使用 google-auth-library 让它工作。

我做了以下事情。

注意：其余代码相同（使用问题中描述的相同服务帐户）：

import { OAuth2Client } from "google-auth-library";

export const apiExpressRouteHandler: RequestHandler = async (req, res) => {
  try {

    const PROJECT_ID = process.env.PROJECT_ID;

    const authHeader = req.headers.authorization;
    if (authHeader) {
      const client = new OAuth2Client(PROJECT_ID);
      const ticket = await client.verifyIdToken({
        idToken: authHeader.split(" ")[1],
        audience: PROJECT_ID
      });

      // LOGGING ticket PROPERTIES

      console.log(`userId: ${JSON.stringify(ticket.getUserId())}`);
      console.log(`payload: ${JSON.stringify(ticket.getPayload())}`);
      console.log(`envelope: ${JSON.stringify(ticket.getEnvelope())}`);
      console.log(`attributes: ${JSON.stringify(ticket.getAttributes())}`);
    }

    // REST OF THE CODE
  }
} 
catch(err) {
  // ...
}

我不确定 PROJECT_ID 是否需要用 new OAuth2Client(PROJECT_ID); 初始化客户端，但它是这样工作的。