我目前正在开发一个客户端应用程序,用户使用电子邮件/密码登录 MongoDB Atlas。后端完全无服务器运行。
所有登录的用户都应该能够在没有可见登录的情况下从 GCP - 存储桶上传和检索图像,这意味着应用程序应该在后台对每个用户进行身份验证。
我正在考虑将 Google 服务帐户与 auth0 结合使用,但我不知道从哪里开始...
如果有人能帮我告诉从哪里开始,那就太好了:)
【问题讨论】:
标签: authentication google-cloud-platform google-cloud-storage auth0
这个问题很难回答。不过,这里有一些见解。
首选方法是使用无服务器后端 AppEngine standard、Cloud Run 或 Cloud Function 来执行此操作。用户执行其身份验证,然后在前端和后端之间交换安全令牌。当用户想要访问 GCP 资源时,它会询问后端,后端通过自己的服务帐户请求请求。
顺便说一句,跟踪用户请求并只为他提供与之相关的资源很容易。而且您只有 1 个服务帐户,用于后端
如果您授予用户对存储桶的访问权限,它可以下载所有文件(但也许每个用户只有一个存储桶?)。如果您选择使用 ACL 限制对象访问,则管理会很复杂。
您不需要每个用户都有一个服务帐户(无论如何,您有一个quota to 100 service accounts per project),您可以使用Cloud Identity Platform (CIP) 代替您的MongoDB 数据库进行身份验证(CIP 不执行授权,您应该使用 MongoDB 进行授权以及与经过身份验证的用户相关的其他内容)。 CIP 是 Firebase Auth 更名
【讨论】: