Oauth 云彩飞鸟和三足飞鸟

假设出现以下情况：

User <> Cloud IAP <> App Engine App <> Google APIs

用户云IAP应用程序引擎应用程序谷歌API

appengineapp

如何代表经过身份验证的用户访问

googleapi

？（即，不使用应用程序引擎应用程序服务帐户）

Cloud IAP

将JWT令牌传输到

App Engine App

，但我无法使用它访问

Google API

资源（例如用户配置文件）

---

我找不到该场景的任何相关文档。

应用程序不会自动代表其用户调用API，即使它是在云IAP之后。云IAP的存在是为了控制对应用程序的访问，而不是授予应用程序权限

---

要允许应用程序代表用户行事，应用程序必须这样做。通常，您将使用google提供的oauth2库来执行该流程（，）然后将该凭据传递到您用于进行实际API调用的客户端库。

这是否意味着至少会发出两个OAuth用户请求：1-让IAP授予对应用程序的控制访问权限2-然后另一个用户请求应用程序级权限（例如访问Bigquery、存储等）正确。您提到的IAP JWT是一个断言，由IAP签名，表明请求来自给定的用户。它不是可用于发出请求的凭据。