问如何使用由API传递给云函数的服务帐户的JWT在云函数中初始化BigQuery客户端

EN

目标：

我已经建立了一个Google网关。API的后端是一个云函数(用python编写)。云功能应该从Google BigQuery (BQ)查询数据。要做到这一点，我想要创建一个烧烤客户端(google.cloud.bigquery.Client())。不同的应用程序应该使用不同的服务帐户访问API。服务帐户有权只访问项目中的特定数据集。因此，服务帐户/应用程序应该只能查询它们具有权限的数据集。因此，云函数中的BQ客户端应该使用发送请求到API的服务帐户进行初始化。

我尝试了什么：

API使用以下OpenAPI定义进行了保护，因此需要一个由服务帐户SA-EMAIL签名的JWT才能在那里发送请求：

securityDefinitions:
  sec-def1:
    authorizationUrl: ""
    flow: "implicit"
    type: "oauth2"
    x-google-issuer: "SA-EMAIL"
    x-google-jwks_uri: "https://www.googleapis.com/robot/v1/metadata/x509/SA-EMAIL"
    x-google-audiences: "SERVICE"

对于使用我的云功能的路径，我使用以下后端配置：

x-google-backend:
  address: https://PROJECT-ID.cloudfunctions.net/CLOUD-FUNCTION
  path_translation: CONSTANT_ADDRESS 

因此，在云函数本身中，我将转发的JWT作为X-Forwarded-Authorization，并从already获得已验证的base64url编码的JWT有效载荷为X-Apigateway-Api-Userinfo。

我尝试使用X-Forwarded-Authorization中的JWT来获得凭据：

bearer_token = request.headers.get('X-Forwarded-Authorization')
token = bearer_token.split(" ")[1]
cred = google.auth.credentials.Credentials(token)

起初，这似乎是可行的，因为cred.valid返回True，但是当尝试使用google.cloud.bigquery.Client(credentials=cred)创建客户机时，它会在日志中返回以下错误：

google.auth.exceptions.RefreshError: The credentials do not contain 
the necessary fields need to refresh the access token. You must 
specify refresh_token, token_uri, client_id, and client_secret.

我对auth/oauth没有太多的经验，但我认为我没有必要的标记/属性，错误说在我的云功能中缺少这些标记/属性。而且，我也不太清楚为什么会有RefreshError，因为我不想刷新令牌(也不要显式地这样做)，只需要再次使用它(可能是错误的做法吗？)。

问题：

是否有可能以我尝试过的方式或以任何其他方式实现我的目标？