在 Golang 中获取谷歌云服务帐户的访问令牌

发布于05月18日

我正在谷歌云上使用一个服务帐户.出于某种原因，我想在golang中以编程方式获取访问令牌.我可以在命令行上执行gcloud auth application-default print-access-token次.

有一个library by google，似乎可以让我得到 token .以下是我如何try 使用它:

    credentials, err := auth.FindDefaultCredentials(ctx)
    if err == nil {
        glog.Infof("found default credentials. %v", credentials)
        token, err2 := credentials.TokenSource.Token()
        fmt.Printf("token: %v, err: %v", token, err2)
        if err2 != nil {
            return nil, err2
        }

然而，我得到一个错误，说token: <nil>, err: oauth2: cannot fetch token: 400 Bad Request.

我已经定义了GOOGLE_APPLICATION_CREDENTIALS个env变量并指向json文件.

推荐答案

按原样运行代码会返回错误:

Invalid OAuth scope or ID token audience provided

我从Google's OAuth scopes开始添加了catch all Cloud Platform可写范围:

https://www.googleapis.com/auth/cloud-platform

这样做似乎有效.见下文:

package main

import (
    "context"
    "log"

    "golang.org/x/oauth2"
    auth "golang.org/x/oauth2/google"
)

func main() {
    var token *oauth2.Token
    ctx := context.Background()
    scopes := []string{
        "https://www.googleapis.com/auth/cloud-platform",
    }
    credentials, err := auth.FindDefaultCredentials(ctx, scopes...)
    if err == nil {
        log.Printf("found default credentials. %v", credentials)
        token, err = credentials.TokenSource.Token()
        log.Printf("token: %v, err: %v", token, err)
        if err != nil {
            log.Print(err)
        }
    }
}

我最近在使用这个库时遇到了一些挑战(要访问需要JWT受众的云运行服务).根据一位朋友的建议，我用google.golang.org/api/idtoken来代替.API非常相似.