API Users per i servizi in bundle legacy

L'API Users consente a un'applicazione di:

  • Rileva se l'utente corrente ha eseguito l'accesso.
  • Reindirizza l'utente alla pagina di accesso appropriata per accedere.
  • Richiedi all'utente dell'applicazione di creare un nuovo Account Google, se non ne ha già uno.

Mentre un utente esegue l'accesso all'applicazione, l'app può accedere all'indirizzo email dell'utente, nonché a un ID utente univoco. L'app può anche rilevare se l'utente corrente è un amministratore (chiamato anche "utente amministratore"), semplificando l'implementazione delle aree dell'app riservate agli amministratori.

Autenticazione degli utenti in Python 2

L'esempio seguente saluta un utente che ha eseguito l'accesso all'app con un messaggio personalizzato e un link per uscire. Se l'utente non ha eseguito l'accesso, l'app offre un link alla pagina di accesso per gli Account Google.

Innanzitutto, importa il modulo google.appengine.api.users.

from google.appengine.api import users

Utilizzalo per ottenere informazioni sull'utente:

user = users.get_current_user()
if user:
    nickname = user.nickname()
    logout_url = users.create_logout_url('/')
    greeting = 'Welcome, {}! (<a href="{}">sign out</a>)'.format(
        nickname, logout_url)
else:
    login_url = users.create_login_url('/')
    greeting = '<a href="{}">Sign in</a>'.format(login_url)

Applicazione dell'accesso e dell'accesso amministrativo con app.yaml

Se disponi di pagine che richiedono all'utente di eseguire l'accesso per poter accedere, puoi imporre questa regola nel file app.yaml. Se un utente accede a un URL configurato per richiedere l'accesso e l'utente non ha eseguito l'accesso, App Engine reindirizza l'utente alla pagina di accesso a Google appropriata, quindi reindirizza l'utente all'URL dell'app dopo aver eseguito l'accesso o la registrazione.

La configurazione del gestore può anche richiedere che l'utente sia un amministratore registrato dell'applicazione, ovvero l'utente deve avere il ruolo Visualizzatore, Editor, Proprietario o Amministratore di App Engine. In questo modo è facile creare sezioni del sito riservate agli amministratori, senza dover implementare un meccanismo di autorizzazione separato.

Per scoprire come configurare l'autenticazione per gli URL, scopri come richiedere lo stato di accesso o di amministratore nella documentazione di riferimento di app.yaml.

Opzioni di autenticazione

La tua app può autenticare gli utenti utilizzando una delle seguenti opzioni:

  • Un account Google
  • Un account nel tuo dominio Google Workspace.

Scelta di un'opzione di autenticazione

Dopo aver creato l'app, puoi scegliere l'opzione di autenticazione che vuoi utilizzare. Per impostazione predefinita, l'app utilizzerà gli Account Google per l'autenticazione. Per scegliere un'altra opzione, ad esempio il dominio Google Workspace, vai alla pagina Impostazioni del tuo progetto nella console Google Cloud e fai clic su Modifica. Nel menu a discesa Autenticazione Google, seleziona il tipo di autenticazione desiderato e fai clic su Salva.

Accesso e disconnessione

Un'applicazione è in grado di rilevare se un utente ha eseguito l'accesso all'app con l'opzione di autenticazione scelta dall'app. Se l'utente non ha eseguito l'accesso, l'app può indirizzarlo agli Account Google per accedere o creare un nuovo Account Google. L'app ottiene l'URL della pagina di accesso chiamando un metodo dell'API Users. L'app può mostrare questo URL come link oppure può emettere un reindirizzamento HTTP all'URL quando l'utente visita una pagina che richiede l'autenticazione.

Se la tua app utilizza Account Google o Google Workspace per l'autenticazione, il nome dell'applicazione viene visualizzato nella pagina di accesso quando l'utente accede all'applicazione. Il nome visualizzato è il nome dell'applicazione che hai specificato durante la registrazione dell'applicazione. Puoi modificare questo nome nel campo Nome applicazione della pagina Credenziali della console Google Cloud.

Una volta che l'utente ha eseguito l'accesso o creato un Account Google, viene reindirizzato alla tua applicazione. L'app fornisce l'URL di reindirizzamento al metodo che genera l'URL di accesso.

L'API Users include un metodo per generare un URL per uscire dall'app. L'URL di uscita annulla l'autenticazione dell'utente dall'app, quindi reindirizza nuovamente all'URL dell'app senza visualizzare nulla.

Un utente non ha eseguito l'accesso a un'applicazione finché non gli viene chiesto di farlo dall'app e inserisce l'indirizzo email e la password del proprio account. anche se l'utente ha eseguito l'accesso ad altre applicazioni utilizzando il proprio Account Google.

Accesso ai dati dell'account

Quando un utente esegue l'accesso a un'app, quest'ultima può accedere all'indirizzo email dell'account per ogni richiesta effettuata dall'utente all'app. L'app può inoltre accedere a un ID utente che identifica l'utente in modo univoco, anche se l'utente modifica l'indirizzo email del proprio account.

L'app può anche determinare se l'utente corrente è un amministratore dell'app. Un utente admin è qualsiasi utente con il ruolo Visualizzatore, Editor, Proprietario o Amministratore App Engine. Puoi utilizzare questa funzionalità per creare funzionalità amministrative per l'app, anche se non autentichi altri utenti. Le API Go, Java, PHP e Python facilitano la configurazione degli URL come "solo per gli amministratori".

Utenti e Datastore

L'API servizio utenti può restituire le informazioni dell'utente corrente come oggetto User. Sebbene gli oggetti utente possano essere archiviati come valore di proprietà nel datastore, ti consigliamo vivamente di evitare questa operazione poiché include l'indirizzo email e l'ID univoco dell'utente. Se un utente cambia il proprio indirizzo email e confronti il valore User precedente e archiviato con il nuovo valore User, non corrisponderanno. In alternativa, valuta la possibilità di utilizzare il valore ID utente User come identificatore univoco stabile dell'utente.

Account Google e server di sviluppo

Il server di sviluppo simula il sistema degli Account Google utilizzando una falsa schermata di accesso. Quando la tua applicazione chiama l'API Users per ottenere l'URL della schermata di accesso, l'API restituisce uno speciale URL del server di sviluppo che richiede un indirizzo email, ma nessuna password. Puoi digitare qualsiasi indirizzo email in questa richiesta e l'app si comporterà come se avessi eseguito l'accesso con un account con quell'indirizzo.

La schermata di accesso falsa include anche una casella di controllo che indica se l'account falso è un amministratore, ovvero se l'account dispone del ruolo Visualizzatore, Editor, Proprietario o Amministratore di App Engine. Se selezioni questa casella, l'app si comporterà come se avessi eseguito l'accesso utilizzando un account amministratore.

Allo stesso modo, l'API Users restituisce un URL di uscita che annulla l'accesso fasullo.

L'ID univoco di un oggetto User nel server di sviluppo viene calcolato dall'indirizzo email. Due indirizzi email univoci rappresentano sempre due utenti unici nel server di sviluppo.