Kurzanleitung zur Authentifizierung mit OAuth

Mit der PaLM API können Sie Modelle an Ihre eigenen Daten anpassen. Da es sich um Ihre Daten und Ihre optimierten Modelle handelt, sind strengere Zugriffssteuerungen als bei API-Schlüsseln erforderlich.

In dieser Kurzanleitung wird ein vereinfachter Authentifizierungsansatz verwendet, der für eine Testumgebung geeignet ist. Informieren Sie sich über Authentifizierung und Autorisierung für eine Produktionsumgebung, bevor Sie die Zugriffsdaten auswählen, die für Ihre App geeignet sind.

Lernziele

  • Cloud-Projekt für OAuth einrichten
  • „application-default-credentials“ einrichten
  • Anmeldedaten in Ihrem Programm verwalten, anstatt gcloud auth zu verwenden

Vorbereitung

Für diese Kurzanleitung benötigen Sie Folgendes:

Cloud-Projekt einrichten

Für diese Kurzanleitung müssen Sie zuerst Ihr Cloud-Projekt einrichten.

1. API aktivieren

Bevor Sie Google APIs verwenden können, müssen Sie sie in einem Google Cloud-Projekt aktivieren.

  • Aktivieren Sie in der Google Cloud Console die Google Generative Language API.

    API aktivieren

Konfigurieren Sie als Nächstes den OAuth-Zustimmungsbildschirm des Projekts und fügen Sie sich als Testnutzer hinzu. Wenn Sie diesen Schritt für Ihr Cloud-Projekt bereits ausgeführt haben, fahren Sie mit dem nächsten Abschnitt fort.

  1. Klicken Sie in der Google Cloud Console auf das Dreistrich-Menü > APIs und Dienste > OAuth-Zustimmungsbildschirm.

    Zum OAuth-Zustimmungsbildschirm

  2. Wählen Sie den Nutzertyp Extern für Ihre Anwendung aus und klicken Sie auf Erstellen.

  3. Füllen Sie das Formular zur App-Registrierung aus (Sie können die meisten Felder leer lassen) und klicken Sie dann auf Speichern und fortfahren.

  4. Sie können das Hinzufügen von Bereichen vorerst überspringen und auf Speichern und fortfahren klicken. Wenn Sie in Zukunft eine App für die Verwendung außerhalb Ihrer Google Workspace-Organisation erstellen, müssen Sie die erforderlichen Autorisierungsbereiche hinzufügen und bestätigen.

  5. Testnutzer hinzufügen:

    1. Klicken Sie unter Testnutzer auf Nutzer hinzufügen.
    2. Geben Sie Ihre E-Mail-Adresse und die E-Mail-Adressen aller anderen autorisierten Testnutzer ein und klicken Sie auf Speichern und fortfahren.
  6. Sehen Sie sich die Zusammenfassung der App-Registrierung an. Wenn Sie Änderungen vornehmen möchten, klicken Sie auf Bearbeiten. Wenn die App-Registrierung in Ordnung ist, klicken Sie auf Zurück zum Dashboard.

3. Anmeldedaten für eine Desktopanwendung autorisieren

Für die Authentifizierung als Endnutzer und für den Zugriff auf Nutzerdaten in Ihrer Anwendung müssen Sie mindestens eine OAuth 2.0-Client-ID erstellen. Eine Client-ID wird zur Identifizierung einer einzelnen Anwendung bei Googles OAuth-Servern verwendet. Wenn Ihre App auf mehreren Plattformen ausgeführt wird, müssen Sie für jede Plattform eine separate Client-ID erstellen.

  1. Klicken Sie in der Google Cloud Console auf das Dreistrich-Menü > APIs und Dienste > Anmeldedaten.

    Zu den Anmeldedaten

  2. Klicken Sie auf Anmeldedaten erstellen > OAuth-Client-ID.

  3. Klicken Sie auf Anwendungstyp > Desktop-App.

  4. Geben Sie im Feld Name einen Namen für die Anmeldedaten ein. Dieser Name wird nur in der Google Cloud Console angezeigt.

  5. Klicken Sie auf Erstellen. Der Bildschirm „OAuth-Client erstellt“ wird angezeigt. Darauf sind Ihre neue Client-ID und Ihr Clientschlüssel zu sehen.

  6. Klicken Sie auf OK. Die neu erstellten Anmeldedaten werden unter OAuth 2.0-Client-IDs angezeigt.

  7. Klicken Sie auf die Schaltfläche „Herunterladen“, um die JSON-Datei zu speichern. Sie wird als client_secret_<identifier>.json gespeichert. Benennen Sie sie in client_secret.json um und verschieben Sie sie in Ihr Arbeitsverzeichnis.

Standardanmeldedaten für Anwendungen einrichten

Wenn Sie die client_secret.json-Datei in verwendbare Anmeldedaten konvertieren möchten, geben Sie den Speicherort als --client-id-file-Argument des gcloud auth application-default login-Befehls an.

gcloud auth application-default login \
    --client-id-file=client_secret.json \
    --scopes='https://www.googleapis.com/auth/cloud-platform,https://www.googleapis.com/auth/generative-language.tuning'

Die vereinfachte Projekteinrichtung in dieser Anleitung löst das Dialogfeld Diese App wurde von Google nicht überprüft aus. Das ist normal. Wählen Sie Weiter aus.

Dadurch wird das resultierende Token an einem bekannten Speicherort abgelegt, sodass gcloud oder die Clientbibliotheken darauf zugreifen können.

gcloud auth application-default login 
--no-browser --client-id-file=client_secret.json
--scopes='https://www.googleapis.com/auth/cloud-platform,https://www.googleapis.com/auth/generative-language.tuning'

Nachdem Sie die Standardanmeldedaten für Anwendungen (Application Default Credentials, ADC) festgelegt haben, benötigen die Clientbibliotheken in den meisten Sprachen nur wenig bis gar keine Hilfe, um sie zu finden.

Curl

Am schnellsten lässt sich das mit curl testen:

access_token=$(gcloud auth application-default print-access-token)
project_id=<MY PROJECT ID>
curl -X GET https://generativelanguage.googleapis.com/v1beta3/models \
    -H 'Content-Type: application/json' \
    -H "Authorization: Bearer ${access_token}" \
    -H "x-goog-user-project: ${project_id}" | grep '"name"'
"name": "models/chat-bison-001",
"name": "models/text-bison-001",
"name": "models/embedding-gecko-001",

Python

In Python sollten die Clientbibliotheken sie automatisch finden:

pip install google-generativeai

Ein minimales Testscript könnte so aussehen:

import google.generativeai as genai

print('Available base models:', [m.name for m in genai.list_models()])
print('My tuned models:', [m.name for m in genai.list_tuned_models()])

Folgende Ausgabe wird erwartet:

Available base models: ['models/chat-bison-001', 'models/text-bison-001', 'models/embedding-gecko-001']
My tuned models: []

Node.js

Wenn Sie diese Anmeldedaten mit der Node.js-Clientbibliothek verwenden möchten, legen Sie die Umgebungsvariable GOOGLE_APPLICATION_CREDENTIALS fest.

export GOOGLE_APPLICATION_CREDENTIALS='<PATH_TO>/application_default_credentials.json'

So installieren Sie die Clientbibliothek:

npm install @google-ai/generativelanguage

Erstellen Sie ein minimales Script:

const { ModelServiceClient } =
  require("@google-ai/generativelanguage").v1beta3;

const MODEL_NAME = "models/text-bison-001";

const client = new ModelServiceClient({});

client
  .listModels({})
  .then((result) => {
    result = result[0]
    for (let i = 0; i < result.length; i++) {
      console.log(result[i].name);
    }
  });

Die Ausgabe sollte so aussehen:

models/chat-bison-001
models/text-bison-001
models/embedding-gecko-001

Nächste Schritte

Wenn das funktioniert, können Sie ein Modell selbst optimieren. Erste Schritte mit der Optimierung

Anmeldedaten selbst verwalten [Python]

In vielen Fällen ist der Befehl gcloud nicht verfügbar, um das Zugriffstoken anhand der Client-ID (client_secret.json) zu erstellen. Google stellt Bibliotheken in vielen Sprachen bereit, mit denen Sie diesen Prozess in Ihrer App verwalten können. In diesem Abschnitt wird der Prozess in Python veranschaulicht. In der Drive API-Dokumentation finden Sie entsprechende Beispiele für andere Sprachen.

1. Erforderliche Bibliotheken installieren

Installieren Sie die Google-Clientbibliothek für Python und die PaLM-Clientbibliothek.

pip install --upgrade -q google-api-python-client google-auth-httplib2 google-auth-oauthlib

pip install google-generativeai

2. Anmeldedaten-Manager schreiben

Erstellen Sie in Ihrem Arbeitsverzeichnis eine Datei mit dem Namen load_creds.py. Beginnen Sie mit dem folgenden Code, um das client_secret.json in ein Token zu konvertieren, das mit dem genai.configure verwendet werden kann:

import os.path

from google.auth.transport.requests import Request
from google.oauth2.credentials import Credentials
from google_auth_oauthlib.flow import InstalledAppFlow

SCOPES = ['https://www.googleapis.com/auth/generative-language.tuning']

def load_creds():
    """Converts `oauth-client-id.json` to a credential object.

    This function caches the generated tokens to minimize the use of the
    consent screen.
    """
    creds = None
    # The file token.json stores the user's access and refresh tokens, and is
    # created automatically when the authorization flow completes for the first
    # time.
    if os.path.exists('token.json'):
        creds = Credentials.from_authorized_user_file('token.json', SCOPES)
    # If there are no (valid) credentials available, let the user log in.
    if not creds or not creds.valid:
        if creds and creds.expired and creds.refresh_token:
            creds.refresh(Request())
        else:
            flow = InstalledAppFlow.from_client_secrets_file(
                'oauth-client-id.json', SCOPES)
            creds = flow.run_local_server(port=0)
        # Save the credentials for the next run
        with open('token.json', 'w') as token:
            token.write(creds.to_json())
    return creds

Damit Sie nicht so oft durch die Autorisierungsbildschirme klicken müssen, wird eine token.json-Datei im Cache gespeichert, die später wiederverwendet werden kann, oder aktualisiert, wenn sie abgelaufen ist.

3. Programm schreiben

Erstellen Sie jetzt Ihr script.py:

import pprint
import google.generativeai as genai
from load_creds import load_creds

creds = load_creds()

genai.configure(credentials=creds)

print()
print('Available base models:', [m.name for m in genai.list_tuned_models()])
print('My tuned models:', [m.name for m in genai.list_tuned_models()])

4. Programm ausführen

Führen Sie das Beispiel in Ihrem Arbeitsverzeichnis aus:

python script.py

Wenn Sie das Script zum ersten Mal ausführen, wird ein Browserfenster geöffnet und Sie werden aufgefordert, den Zugriff zu autorisieren.

  1. Wenn Sie noch nicht in Ihrem Google-Konto angemeldet sind, werden Sie aufgefordert, sich anzumelden. Wenn Sie in mehreren Konten angemeldet sind, wählen Sie das Konto aus, das Sie bei der Konfiguration Ihres Projekts als „Testkonto“ festgelegt haben.

  2. Die Autorisierungsinformationen werden im Dateisystem gespeichert. Wenn Sie den Beispielcode das nächste Mal ausführen, werden Sie nicht zur Autorisierung aufgefordert.

Sie haben die Authentifizierung eingerichtet.