Autenticazione tra servizi
Oltre ad autenticare le richieste degli utenti finali, potresti voler autenticare i servizi (utenti non umani) che effettuano richieste alla tua API. In questa pagina viene spiegato come utilizzare gli account di servizio per fornire l'autenticazione a persone fisiche o servizi.
Panoramica
Per identificare un servizio che invia richieste alla tua API, utilizza un account di servizio. Il servizio chiamante utilizza la chiave privata dell'account di servizio per firmare un token web JSON (JWT) sicuro e invia il JWT firmato nella richiesta alla tua API.
Per implementare l'autenticazione dell'account di servizio nell'API e nel servizio di chiamata:
- Crea un account di servizio e una chiave per il servizio di chiamata da utilizzare.
- Aggiungi il supporto per l'autenticazione nella configurazione API del tuo servizio API Gateway.
Aggiungi al servizio di chiamata un codice che:
- Crea un JWT e lo firma con la chiave privata dell'account di servizio.
- Invia il JWT firmato in una richiesta all'API.
API Gateway verifica che le attestazioni nel JWT corrispondano alla configurazione nella configurazione API prima di inoltrare la richiesta all'API. API Gateway non controlla le autorizzazioni di Cloud Identity che hai concesso nell'account di servizio.
Prerequisiti
Questa pagina presuppone che tu abbia già:
Creazione di un account di servizio con una chiave
Devi avere un account di servizio con un file di chiave privata che il servizio di chiamata utilizza per firmare il JWT. Se hai più di un servizio che invia richieste alla tua API, puoi creare un account di servizio per rappresentare tutti i servizi di chiamata. Se devi distinguere tra i servizi, ad esempio perché potrebbero avere autorizzazioni diverse, puoi creare un account di servizio e una chiave per ogni servizio di chiamata.
Questa sezione mostra come utilizzare la console Google Cloud e lo strumento a riga di comando gcloud
per creare l'account di servizio e il file della chiave privata e per assegnare all'account di servizio il ruolo Creatore token account di servizio. Per informazioni sull'utilizzo di un'API per eseguire questa attività, consulta Creazione e gestione degli account di servizio.
Per creare un account di servizio con una chiave:
Console Google Cloud
Crea un account di servizio:
Nella console Google Cloud, vai a Crea account di servizio.
Seleziona un progetto.
Inserisci un nome nel campo Nome account di servizio. La console Google Cloud compila il campo ID account di servizio in base a questo nome.
(Facoltativo) Nel campo Descrizione account di servizio, inserisci una descrizione.
Fai clic su Crea.
Fai clic sul campo Seleziona un ruolo.
In Tutti i ruoli, seleziona Account di servizio > Creatore token account di servizio.
Fai clic su Continua.
Fai clic su Fine per completare la creazione dell'account di servizio.
Non chiudere la finestra del browser. Lo utilizzerai nella prossima procedura.
Crea una chiave dell'account di servizio:
- Nella console Google Cloud, fai clic sull'indirizzo email dell'account di servizio che hai creato.
- Fai clic su Chiavi.
- Fai clic su Aggiungi chiave, quindi su Crea nuova chiave.
- Fai clic su Crea. Un file di chiave JSON viene scaricato sul computer.
- Fai clic su Chiudi.
gcloud
Puoi eseguire i comandi seguenti utilizzando Google Cloud CLI sulla tua macchina locale o all'interno di Cloud Shell.
Imposta l'account predefinito per
gcloud
. Se disponi di più account, assicurati di scegliere quello che si trova nel progetto Google Cloud che vuoi utilizzare.gcloud auth login
Visualizza gli ID dei tuoi progetti Google Cloud.
gcloud projects list
Imposta il progetto predefinito. Sostituisci
PROJECT_ID
con l'ID del progetto Google Cloud che vuoi utilizzare.gcloud config set project PROJECT_ID
Crea un account di servizio. Sostituisci
SA_NAME
eSA_DISPLAY_NAME
con il nome e il nome visualizzato che vuoi utilizzare.gcloud iam service-accounts create SA_NAME \ --display-name "SA_DISPLAY_NAME"
Visualizza l'indirizzo email dell'account di servizio appena creato.
gcloud iam service-accounts list
Aggiungi il ruolo Creatore token account di servizio. Sostituisci
SA_EMAIL_ADDRESS
con l'indirizzo email dell'account di servizio.gcloud projects add-iam-policy-binding PROJECT_ID \ --member serviceAccount:SA_EMAIL_ADDRESS \ --role roles/iam.serviceAccountTokenCreator
Crea un file della chiave dell'account di servizio nella directory di lavoro corrente. Sostituisci
FILE_NAME
con il nome che vuoi usare per il file della chiave. Per impostazione predefinita, il comandogcloud
crea un file JSON.gcloud iam service-accounts keys create FILE_NAME.json \ --iam-account SA_EMAIL_ADDRESS
Consulta il riferimento di gcloud
per ulteriori informazioni sui comandi precedenti.
Per informazioni sulla salvaguardia della chiave privata, consulta le best practice per la gestione delle credenziali.
Configurazione dell'API per supportare l'autenticazione
Quando crei una configurazione API per il gateway, devi specificare un account di servizio che il gateway utilizza per interagire con altri servizi. Per abilitare l'autenticazione degli account di servizio per i servizi che chiamano il gateway, modifica l'oggetto requisito di sicurezza e l'oggetto definizioni di sicurezza nella configurazione API. Seguendo i passaggi riportati di seguito, API Gateway potrà convalidare le attestazioni nel JWT firmato utilizzato dalle chiamate ai servizi.
Aggiungi l'account di servizio come emittente nella configurazione API.
securityDefinitions: DEFINITION_NAME: authorizationUrl: "" flow: "implicit" type: "oauth2" x-google-issuer: "SA_EMAIL_ADDRESS" x-google-jwks_uri: "https://www.googleapis.com/robot/v1/metadata/x509/SA_EMAIL_ADDRESS"
- Sostituisci
DEFINITION_NAME
con una stringa che identifica questa definizione di sicurezza. Puoi sostituirlo con il nome dell'account di servizio o con un nome che identifichi il servizio di chiamata. - Sostituisci
SA_EMAIL_ADDRESS
con l'indirizzo email dell'account di servizio. - Puoi definire più definizioni di sicurezza nella configurazione API, ma ogni definizione deve avere un valore
x-google-issuer
diverso. Se hai creato account di servizio separati per ogni servizio di chiamata, puoi creare una definizione di sicurezza per ogni account di servizio, ad esempio:
securityDefinitions: service-1: authorizationUrl: "" flow: "implicit" type: "oauth2" x-google-issuer: "service-1@example-project-12345.iam.gserviceaccount.com" x-google-jwks_uri: "https://www.googleapis.com/robot/v1/metadata/x509/service-1@example-project-12345.iam.gserviceaccount.com" service-2: authorizationUrl: "" flow: "implicit" type: "oauth2" x-google-issuer: "service-2@example-project-12345.iam.gserviceaccount.com" x-google-jwks_uri: "https://www.googleapis.com/robot/v1/metadata/x509/service-2@example-project-12345.iam.gserviceaccount.com"
- Sostituisci
Se vuoi, aggiungi
x-google-audiences
alla sezionesecurityDefinitions
. Se non aggiungix-google-audiences
, API Gateway richiede che l'attestazione"aud"
(pubblico) nel JWT sia nel formatohttps://SERVICE_NAME
, dove SERVICE_NAME è il nome del servizio API Gateway, che hai configurato nel campohost
del documento OpenAPI.Aggiungi una sezione
security
al livello superiore del file (non in posizione rientrata o nidificata) da applicare all'intera API oppure a livello di metodo per applicare a un metodo specifico. Se utilizzi le sezionisecurity
sia a livello di API che a livello di metodo, le impostazioni a livello di metodo prevalgono su quelle a livello di API.security: - DEFINITION_NAME: []
- Sostituisci
DEFINITION_NAME
con il nome che hai utilizzato nella sezionesecurityDefinitions
. Se hai più di una definizione nella sezione
securityDefinitions
, aggiungile nella sezionesecurity
, ad esempio:security: - service-1: [] - service-2: []
- Sostituisci
Esegui il deployment della configurazione API aggiornata.
Prima che API Gateway inoltri una richiesta alla tua API, API Gateway verifica:
- La firma del JWT mediante la chiave pubblica, che si trova nell'URI specificato nel campo
x-google-jwks_uri
della configurazione API. - Che la dichiarazione
"iss"
(emittente) nel JWT corrisponda al valore specificato nel campox-google-issuer
. - Che l'attestazione
"aud"
(pubblico) nel JWT contenga il nome del servizio del gateway API o corrisponda a uno dei valori specificati nel campox-google-audiences
. - Che il token non sia scaduto utilizzando la dichiarazione
"exp"
(scadenza).
Per ulteriori informazioni su x-google-issuer
, x-google-jwks_uri
e
x-google-audiences
, consulta la pagina relativa alle estensioni OpenAPI.
Invio di una richiesta autenticata a un'API API Gateway
Per effettuare una richiesta autenticata, il servizio di chiamata invia un JWT firmato dall'account di servizio specificato nella configurazione API. Il servizio di chiamata deve:
- Crea un JWT e firmalo con la chiave privata dell'account di servizio.
- Invia il JWT firmato in una richiesta all'API.
Il seguente codice campione illustra questa procedura per alcuni linguaggi. Per effettuare una richiesta autenticata in altri linguaggi, fai riferimento a jwt.io per un elenco delle librerie supportate.
-
Nel servizio chiamante, aggiungi la funzione seguente e passa i seguenti
parametri:
Java -
saKeyfile
: il percorso completo del file delle chiavi private dell'account di servizio. -
saEmail
: l'indirizzo email dell'account di servizio. -
audience
: se hai aggiunto il campox-google-audiences
alla configurazione API, impostaaudience
su uno dei valori specificati perx-google-audiences
. In caso contrario, impostaaudience
suhttps://SERVICE_NAME
, doveSERVICE_NAME
è il nome del tuo servizio API Gateway. -
expiryLength
: la scadenza del JWT, in secondi.
Python -
sa_keyfile
: il percorso completo del file delle chiavi private dell'account di servizio. -
sa_email
: l'indirizzo email dell'account di servizio. -
audience
: se hai aggiunto il campox-google-audiences
alla configurazione API, impostaaudience
su uno dei valori specificati perx-google-audiences
. In caso contrario, impostaaudience
suhttps://SERVICE_NAME
, doveSERVICE_NAME
è il nome del tuo servizio API Gateway. -
expiry_length
: la scadenza del JWT, in secondi.
Vai -
saKeyfile
: il percorso completo del file delle chiavi private dell'account di servizio. -
saEmail
: l'indirizzo email dell'account di servizio. -
audience
: se hai aggiunto il campox-google-audiences
alla configurazione API, impostaaudience
su uno dei valori specificati perx-google-audiences
. In caso contrario, impostaaudience
suhttps://SERVICE_NAME
, doveSERVICE_NAME
è il nome del tuo servizio API Gateway. -
expiryLength
: la scadenza del JWT, in secondi.
La funzione crea un JWT, lo firma utilizzando il file di chiave privata e restituisce il JWT firmato.
Java Python Vai -
-
Nel servizio chiamante, aggiungi la funzione seguente per inviare il JWT firmato
nell'intestazione
Authorization: Bearer
della richiesta all'API:Java Python Vai
Quando invii una richiesta utilizzando un JWT, per motivi di sicurezza, ti consigliamo di inserire il token di autenticazione nell'intestazione Authorization: Bearer
. Ad esempio:
curl --request POST \ --header "Authorization: Bearer ${TOKEN}" \ "${GATEWAY_URL}/echo"
dove GATEWAY_URL
e TOKEN
sono variabili di ambiente contenenti rispettivamente l'URL del gateway di cui hai eseguito il deployment e il token di autenticazione.
Ricezione di risultati autenticati nell'API
API Gateway in genere inoltra tutte le intestazioni che riceve. Tuttavia, sostituisce l'intestazione Authorization
originale quando l'indirizzo di backend è specificato da x-google-backend
nella configurazione API.
API Gateway invierà il risultato dell'autenticazione in X-Apigateway-Api-Userinfo
all'API di backend. Ti consigliamo di utilizzare questa intestazione anziché l'intestazione Authorization
originale. Questa intestazione è codificata in base64url
e contiene il payload JWT.