Signieren von JWT mit Google-Python-Bibliotheken mit gefälschten Anmeldeinformationen über WIF

Signieren von JWT mit Google-Python-Bibliotheken mit gefälschten Anmeldeinformationen über WIF ⇐ Python

1 post • Page 1 of 1

Anonymous

Signieren von JWT mit Google-Python-Bibliotheken mit gefälschten Anmeldeinformationen über WIF

Report
Quote

Post by Anonymous » 17 Jan 2026, 22:47

Ich verwende die Github-Aktion google-github-actions/auth@v3 und folge der Dokumentation für die Workload Identity-Föderation über ein Dienstkonto innerhalb der Github-CI. Ich habe den Workload-ID-Pool erstellt, den Anbieter mit den vorgeschlagenen attr-Zuordnungen aus den Dokumenten erstellt und die erforderliche Richtlinienbindung erstellt. Zusätzlich habe ich dem Dienstkonto die Berechtigung zum Erstellen von Dienstkonto-Tokens erteilt.
Ich kann die gcloud API gcloud iam service-accounts sign-jwt erfolgreich verwenden, um ein JWT zu signieren. Ich habe das resultierende JWT mit API Gateway verwendet, um seine Gültigkeit beim Identitätswechsel eines Dienstkontos zu bestätigen.
In Python kann ich ein externes Anmeldeinformationsobjekt und bei Bedarf ein imitiertes Dienstkonto-Anmeldeinformationsobjekt erstellen, aber beides schlägt fehl, wenn ich die Aktualisierung vor dem Signieren durchführe.
Wenn ich versuche, die meiner Meinung nach äquivalenten Aufrufe von gcloud in den Python-Google-Clientbibliotheken zu verwenden (google.auth.jwt.encode(...)) Ich erhalte die Fehlermeldung:

Code: Select all

google.auth.exceptions.RefreshError: ('Unable to acquire impersonated credentials', '{
"error": {
"code": 400,
"message": "Request contains an invalid argument.",
"status": "INVALID_ARGUMENT"
}
}')

test.py:

Code: Select all

import time
import google.auth
import google.auth.jwt
from google.auth import iam
from google.auth.transport.requests import Request

def test_signing():
credentials, _ = google.auth.default()
now = int(time.time())
payload = {
"iat": now,
"exp": now + 3600,
"iss": "[email protected]",
"sub": "[email protected]",
"aud": 'myproject',
}

signer = iam.Signer(
Request(),
credentials,
"[email protected]"
)
signature = google.auth.jwt.encode(signer, payload)
assert signature

ci.yml:

Code: Select all

permissions:
id-token: write
contents: read

jobs:
tests:
env:
GITHUB_ORG: ${{ github.repository_owner }}
timeout-minutes: 5
runs-on: ${{ matrix.os }}
continue-on-error: false
strategy:
matrix:
python-version: ["3.12"]
os: [ubuntu-latest]

steps:

- name: Run action checkout v4
uses: actions/checkout@v4

- name: auth
id: auth
uses: google-github-actions/auth@v3
with:
workload_identity_provider: '../locations/global/workloadIdentityPools/github/providers/myoidc'
service_account: '[email protected]'
project_id: 'myproject'
create_credentials_file: true
export_environment_variables: true

- name: Setup gcloud
uses: google-github-actions/setup-gcloud@v3

- name: sign token
run: |
cat > payload.json

1768686473

Anonymous

Ich verwende die Github-Aktion google-github-actions/auth@v3 und folge der Dokumentation für die Workload Identity-Föderation über ein Dienstkonto innerhalb der Github-CI. Ich habe den Workload-ID-Pool erstellt, den Anbieter mit den vorgeschlagenen attr-Zuordnungen aus den Dokumenten erstellt und die erforderliche Richtlinienbindung erstellt. Zusätzlich habe ich dem Dienstkonto die Berechtigung zum Erstellen von Dienstkonto-Tokens erteilt.
Ich kann die gcloud API gcloud iam service-accounts sign-jwt erfolgreich verwenden, um ein JWT zu signieren.  Ich habe das resultierende JWT mit API Gateway verwendet, um seine Gültigkeit beim Identitätswechsel eines Dienstkontos zu bestätigen.
In Python kann ich ein externes Anmeldeinformationsobjekt und bei Bedarf ein imitiertes Dienstkonto-Anmeldeinformationsobjekt erstellen, aber beides schlägt fehl, wenn ich die Aktualisierung vor dem Signieren durchführe.
Wenn ich versuche, die meiner Meinung nach äquivalenten Aufrufe von gcloud in den Python-Google-Clientbibliotheken zu verwenden (google.auth.jwt.encode(...)) Ich erhalte die Fehlermeldung:
[code]google.auth.exceptions.RefreshError: ('Unable to acquire impersonated credentials', '{
"error": {
"code": 400,
"message": "Request contains an invalid argument.",
"status": "INVALID_ARGUMENT"
}
}')
[/code]
test.py:
[code]import time
import google.auth
import google.auth.jwt
from google.auth import iam
from google.auth.transport.requests import Request

def test_signing():
credentials, _ = google.auth.default()
now = int(time.time())
payload = {
"iat": now,
"exp": now + 3600,
"iss": "[email protected]",
"sub": "[email protected]",
"aud": 'myproject',
}

signer = iam.Signer(
Request(),
credentials,
"[email protected]"
)
signature = google.auth.jwt.encode(signer, payload)
assert signature
[/code]
ci.yml:
[code]permissions:
id-token: write
contents: read

jobs:
tests:
env:
GITHUB_ORG: ${{ github.repository_owner }}
timeout-minutes: 5
runs-on: ${{ matrix.os }}
continue-on-error: false
strategy:
matrix:
python-version: ["3.12"]
os: [ubuntu-latest]

steps:

- name: Run action checkout v4
uses: actions/checkout@v4

- name: auth
id: auth
uses: google-github-actions/auth@v3
with:
workload_identity_provider: '../locations/global/workloadIdentityPools/github/providers/myoidc'
service_account: '[email protected]'
project_id: 'myproject'
create_credentials_file: true
export_environment_variables: true

- name: Setup gcloud
uses: google-github-actions/setup-gcloud@v3

- name: sign token
run: |
cat > payload.json

Post Reply Previous topic Next topic

1 post • Page 1 of 1

Quick Reply

Subject:

Username:

Change Text Case:

Smilies

View more smilies

Similar Topics

Replies

Views

Last post

Kommende Anforderungen: Das zum Signieren von App-Store-Belegen verwendete Zwischenzertifikat SHA-1 zum Signieren von Ap

Last post by Guest « 03 Jan 2025, 13:01
Posted in IOS

by Guest » 03 Jan 2025, 13:01 » in IOS

Ich habe in meinem Apple-Konto die folgende Warnung erhalten: „Das App Store-Quittungssignaturzertifikat SHA-1-Zwischenzertifikat, das zum Signieren von App Store-Quittungen verwendet wird, läuft am...

0 Replies

77 Views

Last post by Guest
03 Jan 2025, 13:01
Gibt es besser, um JWT -Checking (JWT -Filter) für bestimmte Routen (Login, Register) im Spring Start zu ignorieren

Last post by Guest « 22 Feb 2025, 11:39
Posted in Java

by Guest » 22 Feb 2025, 11:39 » in Java

Kontext
Hallo, ich bin ein Neuling im Spring -Boot und habe ein Wunder, während die Anmeldungs- und Registrierungsfunktion für eine Spring -Boot -API implementiert wird.
Hier ist mein GitHub Repo...

0 Replies

46 Views

Last post by Guest
22 Feb 2025, 11:39
Klasse Firebase \ jwt \ jwt nicht gefunden

Last post by Guest « 23 Feb 2025, 07:27
Posted in Php

by Guest » 23 Feb 2025, 07:27 » in Php

Ich möchte in meinem Code reine Firebase/PHP-JWT-Bibliothek verwenden. Erstens gehe ich zu/var/www/html/ und wie die offizielle Bibliotheksseite vorschlägt, mache ich dies

composer require...

0 Replies

68 Views

Last post by Guest
23 Feb 2025, 07:27
JWT-Token-Ablaufhandhabung, der 500 Fehler in Flask-JWT-erweitert und flaskisch-restvoll verursacht

Last post by Anonymous « 02 Apr 2025, 05:23
Posted in Python

by Anonymous » 02 Apr 2025, 05:23 » in Python

Problem:
Ich baue ein Flask-Backend mit Flask-restful, Flask-jwt-erweitert und postgresql. Beim Testen von JWT -Token -Ablauf über Postmanen führen abgelaufene Token konsistent zu einem 500 internen...

0 Replies

57 Views

Last post by Anonymous
02 Apr 2025, 05:23
Kommende Anforderungen: Das zum Signieren von App-Store-Belegen verwendete Zwischenzertifikat SHA-1 für die Signatur von

Last post by Anonymous « 06 Jan 2025, 05:45
Posted in IOS

by Anonymous » 06 Jan 2025, 05:45 » in IOS

Ich habe in meinem Apple-Konto die folgende Warnung erhalten: „Das App Store-Quittungssignaturzertifikat SHA-1-Zwischenzertifikat, das zum Signieren von App Store-Quittungen verwendet wird, läuft am...

0 Replies

46 Views

Last post by Anonymous
06 Jan 2025, 05:45

Return to “Python”