Nota: Java 8 ha raggiunto la fine del supporto il 31 gennaio 2024. Le applicazioni Java 8 esistenti continueranno a essere eseguite e a ricevere traffico. Tuttavia, App Engine potrebbe bloccare il ri deployment di applicazioni che utilizzano runtime dopo la data di fine del supporto. Ti consigliamo di eseguire la migrazione alla versione più recente supportata di Java.

API Users per servizi in bundle legacy

L'API Users consente a un'applicazione di:

Rileva se l'utente corrente ha eseguito l'accesso.
Reindirizza l'utente alla pagina di accesso appropriata per l'accesso.
Chiedi all'utente dell'applicazione di creare un nuovo Account Google se non ne ha già uno.

Mentre un utente ha eseguito l'accesso all'applicazione, l'app può accedere all'indirizzo email dell'utente. L'app può inoltre rilevare se l'utente corrente è un amministratore (detto anche "utente amministratore"), semplificando l'implementazione delle aree dell'app riservate agli amministratori.

Autenticazione utente in Java 8

L'esempio seguente saluta un utente che ha eseguito l'accesso all'app con un messaggio personalizzato e un link per uscire. Se l'utente non ha eseguito l'accesso, l'app offre un link alla pagina di accesso per gli Account Google.

Puoi verificare se l'utente ha eseguito l'accesso e recuperare l'indirizzo email dell'utente utilizzando l'API servlet standard, con il metodo getUserPrincipal() dell'oggetto richiesta. Puoi utilizzare l'API User Service per generare URL di accesso e di uscita.


package com.example.appengine.users;

import com.google.appengine.api.users.UserService;
import com.google.appengine.api.users.UserServiceFactory;
import java.io.IOException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

// With @WebServlet annotation the webapp/WEB-INF/web.xml is no longer required.
@WebServlet(
    name = "UserAPI",
    description = "UserAPI: Login / Logout with UserService",
    urlPatterns = "/userapi"
)
public class UsersServlet extends HttpServlet {

  @Override
  public void doGet(HttpServletRequest req, HttpServletResponse resp) throws IOException {
    UserService userService = UserServiceFactory.getUserService();

    String thisUrl = req.getRequestURI();

    resp.setContentType("text/html");
    if (req.getUserPrincipal() != null) {
      resp.getWriter()
          .println(
              "<p>Hello, "
                  + req.getUserPrincipal().getName()
                  + "!  You can <a href=\""
                  + userService.createLogoutURL(thisUrl)
                  + "\">sign out</a>.</p>");
    } else {
      resp.getWriter()
          .println(
              "<p>Please <a href=\"" + userService.createLoginURL(thisUrl) + "\">sign in</a>.</p>");
    }
  }
}

L'API del servizio utente può restituire le informazioni dell'utente corrente sotto forma di oggetto User. Anche se gli oggetti utente possono essere archiviati come valore di proprietà nel datastore, consigliamo vivamente di non farlo perché include l'indirizzo email e l'ID univoco dell'utente. Se un utente cambia il proprio indirizzo email e confronti il precedente valore User archiviato con il nuovo valore User, non corrisponderanno. Considera invece di utilizzare il valore ID utente User come identificatore univoco stabile dell'utente.

Applicazione dell'accesso e dell'accesso amministrativo con web.xml

Se hai pagine a cui l'utente non dovrebbe poter accedere senza l'accesso, puoi stabilire un vincolo di sicurezza per queste pagine nel descrittore di deployment (il file web.xml). Se un utente accede a un URL con un vincolo di sicurezza e l'utente non ha eseguito l'accesso, App Engine reindirizza automaticamente l'utente alla pagina di accesso (per l'autenticazione con Account Google o Google Workspace), quindi reindirizza l'utente all'URL dopo che ha eseguito l'accesso o la registrazione.

Un vincolo di sicurezza può anche richiedere che l'utente sia un amministratore registrato dell'applicazione, ovvero il ruolo Visualizzatore, Editor, Proprietario o Amministratore di App Engine. In questo modo è più facile creare sezioni del sito riservate agli amministratori senza dover implementare un meccanismo di autorizzazione separato.

Per scoprire come impostare i vincoli di sicurezza per gli URL, consulta la sezione Descrittore di deployment: sicurezza e autenticazione per web.xml.

Opzioni di autenticazione

La tua app può autenticare gli utenti utilizzando una delle seguenti opzioni:

Un account Google
Un account nel tuo dominio Google Workspace

Scelta di un'opzione di autenticazione

Dopo aver creato l'app, puoi scegliere l'opzione di autenticazione che vuoi utilizzare. Per impostazione predefinita, la tua app utilizza gli Account Google per l'autenticazione. Per scegliere un'altra opzione, ad esempio Dominio Google Workspace, vai alla pagina Impostazioni del tuo progetto nella console Google Cloud e fai clic su Modifica. Nel menu a discesa Autenticazione Google, seleziona il tipo di autenticazione desiderato e fai clic su Salva.

Accesso e disconnessione

Un'applicazione può rilevare se un utente ha eseguito l'accesso all'app con l'opzione di autenticazione scelta dall'app. Se l'utente non ha eseguito l'accesso, l'app può indirizzarlo agli Account Google per accedere o creare un nuovo Account Google. L'app recupera l'URL della pagina di accesso chiamando un metodo dell'API Users. L'app può visualizzare questo URL come link o inviare un reindirizzamento HTTP all'URL quando l'utente visita una pagina che richiede l'autenticazione.

Se la tua app utilizza Account Google o Google Workspace per l'autenticazione, il nome dell'applicazione viene visualizzato nella pagina di accesso quando l'utente accede all'applicazione. Il nome visualizzato è quello specificato durante la registrazione dell'applicazione. Puoi modificare questo nome nel campo Nome applicazione della pagina Credenziali della console Google Cloud.

Una volta che l'utente ha eseguito l'accesso o creato un Account Google, l'utente viene reindirizzato alla tua applicazione. L'app fornisce l'URL di reindirizzamento al metodo che genera l'URL di accesso.

L'API Users include un metodo per generare un URL per uscire dall'app. L'URL di disconnessione annulla l'autenticazione dell'utente dall'app, quindi reindirizza all'URL dell'app senza visualizzare nulla.

Un utente non ha eseguito l'accesso a un'applicazione finché non gli viene chiesto di farlo dall'app e di inserire l'indirizzo email e la password del proprio account. anche se l'utente ha eseguito l'accesso ad altre applicazioni utilizzando il proprio Account Google.

Accesso ai dati dell'account

Mentre un utente esegue l'accesso a un'app, quest'ultima può accedere all'indirizzo email dell'account per ogni richiesta che l'utente invia all'app. L'app può anche accedere a un ID utente che identifica l'utente in modo univoco, anche se l'utente cambia l'indirizzo email del proprio account.

L'app può inoltre determinare se l'utente corrente è un amministratore dell'app. Un utente admin è qualsiasi utente con il ruolo Visualizzatore, Editor, Proprietario o Amministratore di App Engine. Puoi utilizzare questa funzionalità per creare funzionalità amministrative per l'app, anche se non esegui l'autenticazione di altri utenti. Le API Go, Java, PHP e Python semplificano la configurazione degli URL come "solo amministratore".

Utenti e Datastore

L'API del servizio Utenti può restituire le informazioni dell'utente corrente sotto forma di oggetto User. Anche se gli oggetti utente possono essere archiviati come valore di proprietà nel datastore, consigliamo vivamente di non farlo perché include l'indirizzo email e l'ID univoco dell'utente. Se un utente cambia il proprio indirizzo email e confronti il precedente valore User archiviato con il nuovo valore User, non corrisponderanno. Considera invece di utilizzare il valore ID utente User come identificatore univoco stabile dell'utente.

Account Google e il server di sviluppo

Il server di sviluppo simula il sistema degli Account Google utilizzando una schermata di accesso falsa. Quando l'applicazione chiama l'API Users per ottenere l'URL per la schermata di accesso, l'API restituisce un URL speciale del server di sviluppo che richiede un indirizzo email, ma nessuna password. Puoi digitare qualsiasi indirizzo email in questa richiesta e l'app si comporterà come se avessi eseguito l'accesso con un account con quell'indirizzo.

La schermata di accesso falsa include anche una casella di controllo che indica se l'account falso è un amministratore, ovvero se l'account dispone del ruolo Visualizzatore, Editor, Proprietario o Amministratore di App Engine. Se selezioni questa casella, l'app si comporterà come se avessi eseguito l'accesso utilizzando un account amministratore.

Analogamente, l'API Users restituisce un URL di uscita che annulla l'accesso falso.