Questa pagina è stata tradotta dall'API Cloud Translation.

Utilizzo di Auth0 per autenticare gli utenti

Questa pagina descrive come supportare l'autenticazione utente in API Gateway.

Per autenticare un utente, un'applicazione client deve inviare un JSON Web Token (JWT) nell'intestazione di autorizzazione del file HTTP all'API backend. Gateway API convalida il token per conto dell'API, quindi non è necessario aggiungere alcun codice l'API per elaborare l'autenticazione. Tuttavia, devi configurare il Configurazione API per il gateway in modo da supportare i metodi di autenticazione scelti.

API Gateway convalida un JWT in modo efficiente utilizzando il protocollo JSON Web Key Set (JWKS) dell'emittente. La località del JWKS è specificata nel campo x-google-jwks_uri della configurazione API del gateway. API Gateway memorizza nella cache il file JWKS per cinque minuti e lo aggiorna ogni cinque minuti.

Prima di iniziare

Aggiungi il codice di autenticazione all'applicazione client, seguendo le istruzioni Auth0, documentazione.

Quando l'applicazione client invia una richiesta HTTP, l'intestazione di autorizzazione nella richiesta deve contenere i seguenti claim JWT:
- iss (emittente)
- sub (soggetto)
- aud (pubblico)
- iat (emissione:)
- exp (tempo di scadenza)

Configurare API Gateway per supportare l'autenticazione client

Per consentire ad API Gateway di convalidare i claim nel JWT firmato, devi avere un oggetto obbligo di sicurezza e un oggetto definizioni di sicurezza nella configurazione dell'API.

Per supportare l'autenticazione Auth0:

Aggiungi quanto segue alla definizione di sicurezza nella configurazione API, che segue lo schema di sicurezza OpenAPI 2.0:

 securityDefinitions:
    auth0_jwk:
      authorizationUrl: ""
      flow: "implicit"
      type: "oauth2"
      # Replace YOUR-ACCOUNT-NAME with your Auth0 account name.
      x-google-issuer: "https://YOUR-ACCOUNT-NAME.auth0.com/"
      x-google-jwks_uri: "https://YOUR-ACCOUNT-NAME.auth0.com/.well-known/jwks.json"
      # Optional. Replace YOUR-CLIENT-ID with your client ID
      x-google-audiences: "YOUR-CLIENT-ID"

Aggiungi una sezione di sicurezza a livello di API per applicarla all'intera API o a livello di metodo per applicarla a un metodo specifico.
```
 security:
    - auth0_jwk: []
```

Puoi definire più definizioni di sicurezza nella configurazione dell'API, ma ogni definizione deve avere un emittente diverso. Se utilizzi le sezioni di sicurezza in a livello di API, mentre le impostazioni a livello di metodo hanno la precedenza Impostazioni a livello di API.

Il campo x-google-audiences non è obbligatorio. API Gateway accetta tutti i JWT con il nome del servizio di backend sotto forma di https://SERVICE_NAME nel claim aud.

Nota: API Gateway non accetta i seguenti tipi di URI in aud dichiarazione:

Indirizzi interni
Indirizzi IPv4 o IPv6

Per consentire a ID client aggiuntivi di accedere al servizio di backend, puoi specificare gli ID client consentiti nel campo x-google-audiences utilizzando valori separati da virgola. API Gateway accetta quindi i JWT con uno qualsiasi dei ID cliente specificati nella rivendicazione aud.

Effettuare una chiamata autenticata a un'API API Gateway

Quando invii una richiesta utilizzando un token di autenticazione, ti consigliamo di inserire il token nell'intestazione Authorization:Bearer. Per esempio:

curl --request POST \
  --header "Authorization: Bearer ${TOKEN}" \
  "${GATEWAY_URL}/echo"

Qui, GATEWAY_URL e TOKEN sono variabili di ambiente contenenti rispettivamente l'URL del gateway di cui è stato eseguito il deployment e il token di autenticazione. Consulta Eseguire una richiesta autenticata a un'API API Gateway per il codice di esempio che invia una richiesta utilizzando l'intestazione Authorization:Bearer.

Se non puoi utilizzare l'intestazione quando invii la richiesta, puoi inserire il in un parametro di query chiamato access_token. Ad esempio:

curl "${GATEWAY_URL}/echo?access_token=${TOKEN}"

Ricevere risultati autenticati nell'API

In genere, API Gateway inoltra tutte le intestazioni che riceve. Tuttavia, sostituisce il l'intestazione Authorization originale quando l'indirizzo di backend è specificato da x-google-backend nella configurazione API.

API Gateway invierà il risultato dell'autenticazione in X-Apigateway-Api-Userinfo all'API di backend. Ti consigliamo di utilizzare questa intestazione anziché l'originale Intestazione Authorization. Questa intestazione è codificata in base64url e contiene il payload JWT.

Passaggi successivi

Autenticazione tra servizi