要保护未经认证的 Cloud Run 端点，你可以使用 Cloud Run 的身份验证功能来验证请求。以下是一个示例解决方案，使用 Cloud Run 的访问令牌来进行身份验证：

1. 在 Cloud Run 服务中，启用身份验证功能：

gcloud run services update SERVICE_NAME --ingress=internal --no-allow-unauthenticated

2. 在你的代码中添加验证逻辑。下面是一个示例使用 Node.js 的 Express 框架的代码：

const express = require('express');
const app = express();

// 验证请求的身份
const verifyToken = (req, res, next) => {
  const authorizationHeader = req.headers['authorization'];
  
  if (!authorizationHeader) {
    return res.status(401).json({ error: 'Missing authorization header' });
  }
  
  const token = authorizationHeader.split(' ')[1];
  
  if (!token) {
    return res.status(401).json({ error: 'Invalid token' });
  }
  
  // 验证 token 的逻辑，例如使用 JWT 库进行验证
  // 如果 token 无效，返回 401 响应
  // 如果 token 有效，继续处理请求
  next();
};

// 添加身份验证中间件
app.use(verifyToken);

// 处理请求的逻辑
app.get('/', (req, res) => {
  res.send('Hello, Cloud Run!');
});

// 启动服务器
app.listen(8080, () => {
  console.log('Server is running on port 8080');
});

在这个示例中，我们添加了一个 verifyToken 中间件，它会验证请求的身份。我们通过查找请求头中的 Authorization 字段，获取访问令牌，并使用 JWT 库对令牌进行验证。如果令牌无效，我们返回 401 响应。如果令牌有效，我们继续处理请求。

请注意，这只是一个简单的示例，你可能需要根据你的需求进行适当的修改和扩展。

这样，你就可以保护未经认证的 Cloud Run 端点，只允许经过身份验证的请求通过。