Go语言中通过JWT实现Google服务账号授权教程

1. 概述与准备

Google服务账号是Google Cloud Platform (GCP) 中的一种特殊账号，代表应用程序而非最终用户，用于访问Google API。通过JWT进行授权是一种安全且无需用户交互的方式，特别适用于服务器端应用。

在开始之前，请确保您已完成以下准备工作：

• Go语言环境： 您的开发环境中已安装并配置好Go语言。
• Google Cloud项目： 在Google Cloud Console中创建一个项目，并启用您需要访问的Google API。
• 服务账号凭证：
  1. 在Google Cloud Console中创建一个服务账号（IAM & Admin -> Service Accounts）。
  2. 为该服务账号生成一个新的密钥，选择P12格式。下载的.p12文件将包含您的私钥。
  3. 记录下服务账号的Email Address，例如your-service-account@your-project-id.iam.gserviceaccount.com。

2. 依赖安装

本教程将使用Go语言的goauth2包来实现JWT授权。请通过以下命令安装所需的依赖：

go get code.google.com/p/goauth2/oauth

3. 准备服务账号私钥

Google的goauth2/oauth/jwt包目前不支持直接读取P12格式的私钥文件，它需要一个PEM格式的RSA私钥。因此，您需要使用openssl工具将下载的.p12文件转换为PEM格式的私钥。

立即学习“go语言免费学习笔记（深入）”；

1. 转换P12文件到PEM格式： 打开终端或命令行，导航到.p12文件所在的目录，执行以下命令：

   openssl pkcs12 -in your_key_file.p12 -nocerts -out key.pem -nodes

   登录后复制
   • -in your_key_file.p12：指定您的P12密钥文件路径。
   • -nocerts：表示输出中不包含证书。
   • -out key.pem：指定输出的PEM格式私钥文件名为key.pem。
   • -nodes：表示输出的私钥不加密（即不使用密码），这对于自动化授权流程非常重要。

2. 清理key.pem文件（可选，但推荐）：openssl生成的key.pem文件可能包含额外的文本，如Bag Attributes等。虽然Go的jwt包通常能处理，但为了最佳兼容性，建议手动编辑key.pem文件，只保留以下格式的RSA私钥部分：

   -----BEGIN RSA PRIVATE KEY-----
   MIIEowIBAAKCAQEAz...
   -----END RSA PRIVATE KEY-----

   登录后复制

   确保文件开头是-----BEGIN RSA PRIVATE KEY-----，结尾是-----END RSA PRIVATE KEY-----，中间是Base64编码的私钥内容。

4. Go语言实现JWT授权

以下是使用Go语言和JWT获取Google服务账号访问令牌的完整示例代码：

package main

import (
    "code.google.com/p/goauth2/oauth/jwt" // 导入JWT包
    "flag"                                // 用于命令行参数解析
    "fmt"
    "io/ioutil" // 用于文件读取
    "net/http"  // 用于HTTP客户端
)

var (
    // serviceEmail 命令行参数：服务账号的邮箱地址
    serviceEmail = flag.String("service_email", "", "OAuth service email.")
    // keyPath 命令行参数：PEM格式私钥文件路径
    keyPath = flag.String("key_path", "key.pem", "Path to unencrypted RSA private key file.")
    // scope 命令行参数：OAuth Scope，多个Scope用空格分隔
    scope = flag.String("scope", "", "Space separated scopes.")
)

// fetchToken 函数负责通过JWT获取Google API的访问令牌
func fetchToken() (string, error) {
    // 1. 读取PEM格式的私钥文件
    keyBytes, err := ioutil.ReadFile(*keyPath)
    if err != nil {
        return "", fmt.Errorf("无法读取私钥文件 %s: %v", *keyPath, err)
    }

    // 2. 创建JWT令牌实例
    // 参数：服务账号邮箱，OAuth Scope，私钥字节
    t := jwt.NewToken(*serviceEmail, *scope, keyBytes)

    // 3. 创建HTTP客户端
    c := &http.Client{}

    // 4. 断言JWT并获取访问令牌
    // t.Assert(c) 会向Google授权服务器发送JWT，并交换一个OAuth访问令牌
    o, err := t.Assert(c)
    if err != nil {
        return "", fmt.Errorf("获取访问令牌失败: %v", err)
    }

    // 5. 返回获取到的Access Token
    return o.AccessToken, nil
}

func main() {
    // 解析命令行参数
    flag.Parse()

    // 检查必要的参数是否提供
    if *serviceEmail == "" {
        fmt.Println("错误: 必须提供 --service_email 参数。")
        flag.Usage()
        return
    }
    if *scope == "" {
        fmt.Println("错误: 必须提供 --scope 参数。")
        flag.Usage()
        return
    }

    // 调用fetchToken函数获取令牌
    token, err := fetchToken()
    if err != nil {
        fmt.Printf("错误: %v\n", err)
    } else {
        fmt.Printf("成功获取访问令牌: %v\n", token)
    }
}

代码说明：

1. flag 包： 用于方便地从命令行接收service_email、key_path和scope参数。
2. *`ioutil.ReadFile(keyPath)：** 读取您转换好的key.pem`文件内容。
3. jwt.NewToken(*serviceEmail, *scope, keyBytes)： 创建一个jwt.Token实例。
   • serviceEmail：您的Google服务账号邮箱。
   • scope：您应用程序需要访问的Google API权限范围，例如https://www.googleapis.com/auth/cloud-platform。多个Scope用空格分隔。
   • keyBytes：从key.pem文件读取的私钥内容。
4. t.Assert(c)： 这是核心步骤。它会构建一个JWT，使用私钥进行签名，然后将其发送到Google的授权服务器以交换一个OAuth 2.0访问令牌。c是一个标准的http.Client实例。
5. o.AccessToken： 如果授权成功，o将是一个oauth.Token对象，其中包含AccessToken字段，这就是您用于访问Google API的凭证。

运行示例：

1. 将上述代码保存为main.go。

   

   云雀语言模型

   云雀是一款由字节跳动研发的语言模型，通过便捷的自然语言交互，能够高效的完成互动对话

   54

   查看详情

2. 确保key.pem文件与main.go在同一目录下，或者提供正确的key_path。

3. 编译并运行：

   go run main.go \
     --service_email "your-service-account@your-project-id.iam.gserviceaccount.com" \
     --key_path "key.pem" \
     --scope "https://www.googleapis.com/auth/cloud-platform https://www.googleapis.com/auth/devstorage.full_control"

   登录后复制

   请将--service_email和--scope参数替换为您的实际值。成功执行后，您将看到一个Access Token被打印出来。

5. 注意事项

• Scope的精确性： 确保您提供的scope与应用程序实际需要的权限相符。过度授权会增加安全风险。
• 私钥安全： key.pem文件包含您的服务账号私钥，必须严格保密。切勿将其提交到版本控制系统，或在不安全的网络中传输。在生产环境中，应使用环境变量、密钥管理服务（如Google Secret Manager）或其他安全机制来存储和加载私钥。
• 错误处理： 示例代码中的错误处理较为基础。在实际生产应用中，应实现更健壮的错误日志记录、重试机制和用户友好的错误提示。
• 访问令牌有效期： 获取到的Access Token通常具有较短的有效期（例如一小时）。当令牌过期时，您需要重新执行JWT断言流程来获取新的令牌。
• 并发与缓存： 如果您的应用程序需要频繁获取令牌，考虑对Access Token进行缓存，并在接近过期时刷新，以减少对授权服务器的请求。

6. 重要提示：关于goauth2包的兼容性与替代方案

本教程中使用的code.google.com/p/goauth2包是一个较老的项目，其维护已停止，并且在现代Go模块环境中可能存在兼容性问题。强烈建议新项目或现有项目迁移至官方维护的golang.org/x/oauth2及其相关子包。

golang.org/x/oauth2/google包提供了更现代、更易用的API来处理Google服务账号授权，包括从JSON密钥文件直接加载凭证，而无需手动转换p12文件。

使用golang.org/x/oauth2的简要示例（推荐）：

package main

import (
    "context"
    "fmt"
    "io/ioutil"
    "log"

    "golang.org/x/oauth2/google"
    "golang.org/x/oauth2"
)

func main() {
    // 通常，Google服务账号密钥会下载为JSON文件
    // 请替换为您的服务账号JSON密钥文件路径
    jsonKeyPath := "your-service-account-key.json" 

    // 定义所需的Scope
    scopes := []string{
        "https://www.googleapis.com/auth/cloud-platform",
        "https://www.googleapis.com/auth/devstorage.full_control",
    }

    // 从JSON密钥文件加载凭证
    jwtConfig, err := google.JWTConfigFromJSON(
        readJSONKeyFile(jsonKeyPath), // 假设readJSONKeyFile函数读取文件内容
        scopes...,
    )
    if err != nil {
        log.Fatalf("无法从JSON密钥创建JWT配置: %v", err)
    }

    // 获取访问令牌
    token, err := jwtConfig.TokenSource(context.Background()).Token()
    if err != nil {
        log.Fatalf("获取访问令牌失败: %v", err)
    }

    fmt.Printf("成功获取访问令牌 (使用golang.org/x/oauth2): %v\n", token.AccessToken)
}

// readJSONKeyFile 辅助函数，用于读取JSON密钥文件内容
func readJSONKeyFile(path string) []byte {
    data, err := ioutil.ReadFile(path)
    if err != nil {
        log.Fatalf("无法读取JSON密钥文件 %s: %v", path, err)
    }
    return data
}

这个现代方法不仅简化了密钥处理，还提供了更好的长期维护和兼容性。

7. 总结

本教程详细阐述了如何在Go语言中通过JWT实现Google服务账号的授权，从环境准备、私钥转换到具体的代码实现和运行。通过遵循这些步骤，您的Go应用程序可以安全地获取访问令牌，进而调用各种Google API。同时，我们强调了密钥安全的重要性，并强烈建议在新的开发中采用golang.org/x/oauth2这一更现代、更健壮的替代方案，以确保应用程序的长期稳定性和安全性。

以上就是Go语言中通过JWT实现Google服务账号授权教程的详细内容，更多请关注php中文网其它相关文章！