Google cloud platform 如何从MERN stack应用程序中的身份感知代理获取用户组或角色

我有一个用例，其中我有两个应用程序：

• React SPA前端，在web.myportal.example上运行
• Node Express后端，在api.myportal.example上公开REST api

这两个应用程序都部署在GCP计算引擎中，可以从Internet访问。我能够配置IAP以防止未经授权的访问。我可以指定允许使用UI和API的电子邮件帐户列表

我需要的是GCP IAP的自动化功能。有吗？

---

简单示例-某些API端点应该只对具有特定组/角色成员身份的人员可用。如何从IAP中提取？IAP留给我的唯一东西就是一个

GCP\u IAAP\u AUTH\u令牌

cookie，由于它的定义，我甚至不能使用它。

您可以尝试在每个服务前面放置一个LB（一个用于API，另一个用于应用程序），并配置IAP以使用它们和

当应用程序或资源受IAP保护时，它只能 成员（也称为用户）通过代理访问 正确的身份和访问管理（IAM）角色。当你同意 用户通过IAP访问应用程序或资源时，他们受到 由正在使用的产品实现的细粒度访问控制 不需要VPN。当用户尝试访问IAP安全的 资源，IAP执行身份验证和授权检查

但是，不可能配置IAP以根据登录者向API方法授予不同的访问级别。它看起来不像是允许如此细粒度的管理——只有您可以访问或不访问

身份验证后，IAP应用相关IAM策略检查 用户有权访问请求的资源。如果用户 在云控制台项目上有IAP安全的Web应用程序用户角色吗 如果资源存在，则授权他们访问 应用程序

---

您是否希望根据访问该站点的用户而拥有不同的权限？前端和后端是否必须不同？是的，根据不同用户在google中的角色或组，不同用户拥有不同的权限。UI和API都需要区分——因此，是的，这两个应用程序的权限不同。