Présentation de l'API App Identity pour Java

L'API App Identity permet à une application de découvrir son ID application (également appelé ID du projet). Avec cet ID, l'application App Engine peut valider son identité auprès d'autres applications App Engine, d'API Google et d'applications et services tiers. L'ID application peut également être utilisé pour générer une URL ou une adresse e-mail, ou pour prendre une décision d'exécution.

Obtenir l'ID application

Vous pouvez obtenir l'ID application à l'aide de la méthode ApiProxy.getCurrentEnvironment().getAppId().

Obtenir le nom d'hôte de l'application

Par défaut, les applications App Engine sont diffusées à partir d'URL au format http://<your_app_id>.appspot.com, où l'ID application fait partie du nom d'hôte. Si une application est diffusée à partir d'un domaine personnalisé, il peut être nécessaire de récupérer l'intégralité du nom d'hôte. Pour ce faire, utilisez l'attribut com.google.appengine.runtime.default_version_hostname de CurrentEnvironment.

Java 8

@Override
public void doGet(HttpServletRequest req, HttpServletResponse resp) throws IOException {
  resp.setContentType("text/plain");
  ApiProxy.Environment env = ApiProxy.getCurrentEnvironment();
  resp.getWriter().print("default_version_hostname: ");
  resp.getWriter()
      .println(env.getAttributes().get("com.google.appengine.runtime.default_version_hostname"));
}

Java 7

@Override
public void doGet(HttpServletRequest req, HttpServletResponse resp) throws IOException {
  resp.setContentType("text/plain");
  ApiProxy.Environment env = ApiProxy.getCurrentEnvironment();
  resp.getWriter().print("default_version_hostname: ");
  resp.getWriter()
      .println(env.getAttributes().get("com.google.appengine.runtime.default_version_hostname"));
}

Valider l'identité auprès d'autres applications App Engine

Si vous souhaitez déterminer l'identité de l'application App Engine qui envoie une requête à votre application App Engine, utilisez l'en-tête de requête X-Appengine-Inbound-Appid. Cet en-tête est ajouté à la requête par le service URLFetch et n'est pas modifiable par l'utilisateur. Sa présence indique donc avec certitude l'ID de l'application à l'origine de la requête, s'il existe.

Pour que cet en-tête soit ajouté à la requête, l'application effectuant la requête doit indiquer au service URLFetch de ne pas suivre les redirections. Cela signifie que votre application doit spécifier doNotFollowRedirect si elle utilise la classe URLFetchService. Si votre application se sert de java.net, elle doit définir la connexion comme suit : connection.setInstanceFollowRedirects(false);. App Engine ajoute alors automatiquement l'en-tête à la réponse HTTP.

Dans votre gestionnaire d'application, vous pouvez vérifier l'ID entrant en consultant l'en-tête X-Appengine-Inbound-Appid et en le comparant à une liste d'ID autorisés à envoyer des requêtes.

Valider l'identité auprès des API Google

Les API Google utilisent le protocole OAuth 2.0 pour l'authentification et l'autorisation. L'API App Identity peut créer des jetons OAuth qui peuvent être utilisés pour confirmer que la source d'une requête est l'application elle-même. La méthode getAccessToken() renvoie un jeton d'accès pour un champ d'application ou une liste de champs d'application. Ce jeton peut ensuite être défini dans les en-têtes HTTP d'un appel pour identifier l'application appelante.

L'exemple suivant montre comment utiliser l'API App Identity pour passer un appel REST à l'API Google URL Shortener.

Java 8

/**
 * Returns a shortened URL by calling the Google URL Shortener API.
 *
 * <p>Note: Error handling elided for simplicity.
 */
public String createShortUrl(String longUrl) throws Exception {
  ArrayList<String> scopes = new ArrayList<String>();
  scopes.add("https://www.googleapis.com/auth/urlshortener");
  final AppIdentityService appIdentity = AppIdentityServiceFactory.getAppIdentityService();
  final AppIdentityService.GetAccessTokenResult accessToken = appIdentity.getAccessToken(scopes);
  // The token asserts the identity reported by appIdentity.getServiceAccountName()
  JSONObject request = new JSONObject();
  request.put("longUrl", longUrl);

  URL url = new URL("https://www.googleapis.com/urlshortener/v1/url?pp=1");
  HttpURLConnection connection = (HttpURLConnection) url.openConnection();
  connection.setDoOutput(true);
  connection.setRequestMethod("POST");
  connection.addRequestProperty("Content-Type", "application/json");
  connection.addRequestProperty("Authorization", "Bearer " + accessToken.getAccessToken());

  OutputStreamWriter writer = new OutputStreamWriter(connection.getOutputStream());
  request.write(writer);
  writer.close();

  if (connection.getResponseCode() == HttpURLConnection.HTTP_OK) {
    // Note: Should check the content-encoding.
    //       Any JSON parser can be used; this one is used for illustrative purposes.
    JSONTokener responseTokens = new JSONTokener(connection.getInputStream());
    JSONObject response = new JSONObject(responseTokens);
    return (String) response.get("id");
  } else {
    try (InputStream s = connection.getErrorStream();
        InputStreamReader r = new InputStreamReader(s, StandardCharsets.UTF_8)) {
      throw new RuntimeException(
          String.format(
              "got error (%d) response %s from %s",
              connection.getResponseCode(), CharStreams.toString(r), connection.toString()));
    }
  }
}

Java 7

/**
 * Returns a shortened URL by calling the Google URL Shortener API.
 *
 * <p>Note: Error handling elided for simplicity.
 */
public String createShortUrl(String longUrl) throws Exception {
  ArrayList<String> scopes = new ArrayList<String>();
  scopes.add("https://www.googleapis.com/auth/urlshortener");
  final AppIdentityService appIdentity = AppIdentityServiceFactory.getAppIdentityService();
  final AppIdentityService.GetAccessTokenResult accessToken = appIdentity.getAccessToken(scopes);
  // The token asserts the identity reported by appIdentity.getServiceAccountName()
  JSONObject request = new JSONObject();
  request.put("longUrl", longUrl);

  URL url = new URL("https://www.googleapis.com/urlshortener/v1/url?pp=1");
  HttpURLConnection connection = (HttpURLConnection) url.openConnection();
  connection.setDoOutput(true);
  connection.setRequestMethod("POST");
  connection.addRequestProperty("Content-Type", "application/json");
  connection.addRequestProperty("Authorization", "Bearer " + accessToken.getAccessToken());

  OutputStreamWriter writer = new OutputStreamWriter(connection.getOutputStream());
  request.write(writer);
  writer.close();

  if (connection.getResponseCode() == HttpURLConnection.HTTP_OK) {
    // Note: Should check the content-encoding.
    //       Any JSON parser can be used; this one is used for illustrative purposes.
    JSONTokener responseTokens = new JSONTokener(connection.getInputStream());
    JSONObject response = new JSONObject(responseTokens);
    return (String) response.get("id");
  } else {
    try (InputStream s = connection.getErrorStream();
        InputStreamReader r = new InputStreamReader(s, StandardCharsets.UTF_8)) {
      throw new RuntimeException(String.format(
          "got error (%d) response %s from %s",
          connection.getResponseCode(),
          CharStreams.toString(r),
          connection.toString()));
    }
  }
}

Notez que l'identité de l'application est représentée par le nom du compte de service, qui est généralement applicationid@appspot.gserviceaccount.com. Vous pouvez obtenir la valeur exacte à l'aide de la méthode getServiceAccountName(). Pour les services qui offrent des LCA, vous pouvez accorder l'accès à l'application en accordant l'accès à ce compte.

Valider l'identité auprès de services tiers

Le jeton généré par getAccessToken() ne fonctionne qu'avec les services Google. Vous pouvez toutefois vous servir de la technologie de signature sous-jacente pour valider l'identité de votre application auprès d'autres services. La méthode signForApp() signe les octets en utilisant la clé privée unique associée à votre application, et la méthode getPublicCertificatesForApp() renvoie des certificats permettant de valider la signature.

Voici un exemple de procédure à suivre pour signer un blob et valider sa signature :

Java 8

// Note that the algorithm used by AppIdentity.signForApp() and
// getPublicCertificatesForApp() is "SHA256withRSA"

private byte[] signBlob(byte[] blob) {
  AppIdentityService.SigningResult result = appIdentity.signForApp(blob);
  return result.getSignature();
}

private byte[] getPublicCertificate() throws UnsupportedEncodingException {
  Collection<PublicCertificate> certs = appIdentity.getPublicCertificatesForApp();
  PublicCertificate publicCert = certs.iterator().next();
  return publicCert.getX509CertificateInPemFormat().getBytes("UTF-8");
}

private Certificate parsePublicCertificate(byte[] publicCert)
    throws CertificateException, NoSuchAlgorithmException {
  InputStream stream = new ByteArrayInputStream(publicCert);
  CertificateFactory cf = CertificateFactory.getInstance("X.509");
  return cf.generateCertificate(stream);
}

private boolean verifySignature(byte[] blob, byte[] blobSignature, PublicKey pk)
    throws NoSuchAlgorithmException, InvalidKeyException, SignatureException {
  Signature signature = Signature.getInstance("SHA256withRSA");
  signature.initVerify(pk);
  signature.update(blob);
  return signature.verify(blobSignature);
}

private String simulateIdentityAssertion()
    throws CertificateException, UnsupportedEncodingException, NoSuchAlgorithmException,
    InvalidKeyException, SignatureException {
  // Simulate the sending app.
  String message = "abcdefg " + Calendar.getInstance().getTime().toString();
  byte[] blob = message.getBytes();
  byte[] blobSignature = signBlob(blob);
  byte[] publicCert = getPublicCertificate();

  // Simulate the receiving app, which gets the certificate, blob, and signature.
  Certificate cert = parsePublicCertificate(publicCert);
  PublicKey pk = cert.getPublicKey();
  boolean isValid = verifySignature(blob, blobSignature, pk);

  return String.format(
      "isValid=%b for message: %s\n\tsignature: %s\n\tpublic cert: %s",
      isValid, message, Arrays.toString(blobSignature), Arrays.toString(publicCert));
}

Java 7

// Note that the algorithm used by AppIdentity.signForApp() and
// getPublicCertificatesForApp() is "SHA256withRSA"

private byte[] signBlob(byte[] blob) {
  AppIdentityService.SigningResult result = appIdentity.signForApp(blob);
  return result.getSignature();
}

private byte[] getPublicCertificate() throws UnsupportedEncodingException {
  Collection<PublicCertificate> certs = appIdentity.getPublicCertificatesForApp();
  PublicCertificate publicCert = certs.iterator().next();
  return publicCert.getX509CertificateInPemFormat().getBytes("UTF-8");
}

private Certificate parsePublicCertificate(byte[] publicCert)
    throws CertificateException, NoSuchAlgorithmException {
  InputStream stream = new ByteArrayInputStream(publicCert);
  CertificateFactory cf = CertificateFactory.getInstance("X.509");
  return cf.generateCertificate(stream);
}

private boolean verifySignature(byte[] blob, byte[] blobSignature, PublicKey pk)
    throws NoSuchAlgorithmException, InvalidKeyException, SignatureException {
  Signature signature = Signature.getInstance("SHA256withRSA");
  signature.initVerify(pk);
  signature.update(blob);
  return signature.verify(blobSignature);
}

private String simulateIdentityAssertion()
    throws CertificateException, UnsupportedEncodingException, NoSuchAlgorithmException,
           InvalidKeyException, SignatureException {
  // Simulate the sending app.
  String message = "abcdefg";
  byte[] blob = message.getBytes();
  byte[] blobSignature = signBlob(blob);
  byte[] publicCert = getPublicCertificate();

  // Simulate the receiving app, which gets the certificate, blob, and signature.
  Certificate cert = parsePublicCertificate(publicCert);
  PublicKey pk = cert.getPublicKey();
  boolean isValid = verifySignature(blob, blobSignature, pk);

  return String.format(
      "isValid=%b for message: %s\n\tsignature: %s\n\tpublic cert: %s",
      isValid,
      message,
      Arrays.toString(blobSignature),
      Arrays.toString(publicCert));
}

Obtenir le nom du bucket Cloud Storage par défaut

Chaque application peut être associée à un bucket Cloud Storage par défaut, qui comprend 5 Go d'espace de stockage gratuit et un quota gratuit pour les opérations d'E/S. La capacité de stockage maximale de ce bucket est de 5 Go. Vous pouvez l'augmenter en activant la facturation de votre application et en achetant de l'espace de stockage supplémentaire, ce qui en fait un bucket payant.

Pour obtenir le nom du bucket par défaut, vous pouvez vous servir de l'API App Identity. Appelez AppIdentityService.getDefaultGcsBucketName.

Cette page vous a-t-elle été utile ? Évaluez-la :

Envoyer des commentaires concernant…

Environnement standard App Engine pour Java