App Identity API für gebündelte Legacy-Dienste

Regions-ID

REGION_ID ist ein abgekürzter Code, den Google anhand der Region zuweist, die Sie beim Erstellen Ihrer Anwendung ausgewählt haben. Der Code bezieht sich nicht auf ein Land oder eine Provinz, auch wenn einige Regions-IDs häufig verwendeten Länder- und Provinzcodes ähneln können. Bei Anwendungen, die nach Februar 2020 erstellt wurden, ist REGION_ID.r in den App Engine-URLs enthalten. Bei Anwendungen, die vor diesem Datum erstellt wurden, ist die Regions-ID in der URL optional.

Hier finden Sie weitere Informationen zu Regions-IDs.

Mit der App Identity API können Anwendungen ihre Anwendungs-ID (auch als Projekt-ID bezeichnet) ermitteln. Mithilfe der ID können App Engine-Anwendungen ihre Identität gegenüber anderen App Engine-Anwendungen, Google APIs sowie Anwendungen und Diensten von Drittanbietern bestätigen. Die Anwendungs-ID kann auch zum Generieren einer URL oder E-Mail-Adresse oder zum Ausführen einer Laufzeitentscheidung herangezogen werden.

Projekt-ID abrufen

Die Projekt-ID lässt sich mit der Methode AppIdentityService::getApplicationId() ermitteln.

Hostname der Anwendung abrufen

App Engine-Anwendungen werden standardmäßig über URLs im Format https://PROJECT_ID.REGION_ID.r.appspot.com bereitgestellt, wobei die Projekt-ID Teil des Hostnamens ist. Wenn eine Anwendung von einer benutzerdefinierten Domain bereitgestellt wird, muss möglicherweise die gesamte Komponente des Hostnamens abgerufen werden. Dazu können Sie die Methode AppIdentityService::getDefaultVersionHostname() verwenden.

Identität gegenüber anderen App Engine-Anwendungen bestätigen

Zum Ermitteln der Identität der App Engine-Anwendung, die eine Anfrage an Ihre App Engine-Anwendung sendet, verwenden Sie den Anfrage-Header X-Appengine-Inbound-Appid. Dieser Header wird der Anfrage vom URLFetch-Dienst hinzugefügt und kann vom Nutzer nicht geändert werden. Daher wird die ID der Anwendung, die die Anfrage ausführt (falls vorhanden), sicher angezeigt.

Anforderungen:

  • Nur Aufrufe, die an die Domain appspot.com Ihrer Anwendung gesendet werden, enthalten den Header X-Appengine-Inbound-Appid. Aufrufe an benutzerdefinierte Domains enthalten den Header nicht.
  • Ihre Anfragen müssen so eingerichtet sein, dass sie keinen Weiterleitungen folgen.

Die eingehende ID können Sie in Ihrem Anwendungs-Handler prüfen. Vergleichen Sie dazu den Inhalt des Headers X-Appengine-Inbound-Appid mit der Liste der IDs, die Anfragen senden dürfen.

Identität gegenüber Google APIs bestätigen

Google APIs verwenden zur Authentifizierung und Autorisierung das OAuth 2.0-Protokoll. Die App Identity API kann OAuth-Tokens erstellen, mit denen bestätigt werden kann, dass die Quelle einer Anfrage die Anwendung selbst ist. Die Methode getAccessToken() gibt ein Zugriffstoken für einen Bereich oder eine Liste von Bereichen zurück. Dieses Token kann dann in den HTTP-Headern eines Aufrufs festgelegt werden, um die aufrufende Anwendung zu identifizieren.

Im folgenden Beispiel wird gezeigt, wie mithilfe der App Identity API Google Kalender-Kontakte unter Verwendung von OAuth abgerufen werden können.
// Retrieves Google Calendar contacts using OAuth

use google\appengine\api\app_identity\AppIdentityService;

function setAuthHeader() {
  $access_token = AppIdentityService::getAccessToken('https://www.google.com/m8/feeds');
  return [sprintf('Authorization: OAuth %s', $access_token['access_token'])];
}

$get_contacts_url = 'https://www.google.com/m8/feeds/contacts/default/full';
$headers = setAuthHeader();
$opts = [
  'http' => [
    'header' => implode("\r\n", $headers),
  ],
];

$context = stream_context_create($opts);

$response = file_get_contents($get_contacts_url, false, $context);

$xml = simplexml_load_string($response);

$email = $xml->author->email;
$service_account = AppIdentityService::getServiceAccountName();

if (strcmp($email, $service_account) != 0) {
  die(sprintf('%s does not match the service account name %s.',
              $email,
              $service_account));
}

Der Dienstkontoname gibt die Identität der Anwendung wieder. Dieser lautet in der Regel applicationid@appspot.gserviceaccount.com. Den genauen Wert können Sie mit der Methode getServiceAccountName() abrufen. Für Dienste, die ACLs anbieten, können Sie der Anwendung den Zugriff über dieses Konto gewähren.

Identität gegenüber Diensten von Drittanbietern bestätigen

Das von getAccessToken() generierte Token funktioniert nur in Verbindung mit Google-Diensten. Sie können jedoch die zugrunde liegende Signaturtechnologie verwenden, um die Identität Ihrer Anwendung gegenüber anderen Diensten zu bestätigen. Die Methode signForApp() signiert die Byte mit einem privaten Schlüssel speziell für Ihre Anwendung. Die Methode getPublicCertificates() gibt Zertifikate zurück, mit denen die Signatur validiert werden kann.

Name des standardmäßigen Cloud Storage-Buckets abrufen

Alle Anwendungen können einen standardmäßigen Cloud Storage-Bucket haben, dem 5 GB kostenloser Speicher und ein kostenloses Kontingent für E/A-Vorgänge zugeordnet sind.

Rufen Sie CloudStorageTools::getDefaultGoogleStorageBucketName auf, um den Namen des Standard-Buckets abzurufen. Optional können Sie den Wert #default# als Bucket-Namen verwenden, wobei #default# zur Laufzeit automatisch durch den Standardnamen des Buckets der jeweiligen Anwendung ersetzt wird.