Présentation de l'API Users pour Python

L'API Users permet à une application d'effectuer les tâches suivantes :

  • Détecter si l'utilisateur actuel est connecté
  • Rediriger l'utilisateur vers la page de connexion appropriée
  • Demander à l'utilisateur de votre application de créer un compte Google s'il n'en a pas déjà un

Lorsqu'un utilisateur est connecté à l'application, celle-ci peut accéder à son adresse e-mail, ainsi qu'à un ID utilisateur unique. L'application peut également détecter si l'utilisateur actuel est un administrateur. De cette façon, il est plus facile de mettre en œuvre des zones réservées aux administrateurs dans l'application.

Authentification des utilisateurs dans Python

L'exemple suivant permet de saluer un utilisateur connecté à l'application en affichant un message personnalisé et un lien de déconnexion. Si l'utilisateur n'est pas connecté, l'application propose un lien vers la page de connexion pour les comptes Google.

Importez d'abord le module google.appengine.api.users.

from google.appengine.api import users

Puis, utilisez-le pour obtenir des informations sur l'utilisateur :

user = users.get_current_user()
if user:
    nickname = user.nickname()
    logout_url = users.create_logout_url('/')
    greeting = 'Welcome, {}! (<a href="{}">sign out</a>)'.format(
        nickname, logout_url)
else:
    login_url = users.create_login_url('/')
    greeting = '<a href="{}">Sign in</a>'.format(login_url)

Exiger une connexion et un accès administrateur avec app.yaml

Si vous souhaitez qu'un utilisateur soit connecté pour accéder à certaines pages, vous pouvez définir cette exigence dans le fichier app.yaml. Si un utilisateur accède à une URL, qui a été configurée pour exiger une connexion, et que l'utilisateur n'est pas connecté, App Engine redirige l'utilisateur vers la page de connexion Google appropriée, puis le renvoie vers l'URL de votre application une fois qu'il est connecté ou enregistré.

La configuration du gestionnaire peut également exiger que l'utilisateur soit un administrateur enregistré pour l'application. Cela signifie que l'utilisateur doit disposer du rôle primitif "Lecteur, "Éditeur" ou "Propriétaire", ou du rôle prédéfini "Administrateur App Engine". Vous pouvez ainsi créer plus facilement sur le site des sections réservées à l'administrateur, sans qu'il soit nécessaire de mettre en œuvre un mécanisme d'autorisation distinct.

Pour apprendre à configurer l'authentification pour des URL, consultez la documentation de référence sur le fichier app.yaml et reportez-vous à la méthode permettant d'exiger une connexion ou des droits d'administrateur.

Options d'authentification

Votre application peut authentifier les utilisateurs à l'aide de l'une des options suivantes :

  • Un compte Google
  • Un compte sur votre domaine G Suite

Choisir une option d'authentification

Une fois votre application créée, vous pouvez choisir l'option d'authentification que vous souhaitez mettre en place. Par défaut, votre application utilise des comptes Google. Pour sélectionner une autre option, telle qu'un domaine G Suite, accédez à la page Paramètres de votre projet dans la console Google Cloud Platform, puis cliquez sur Modifier. Dans le menu déroulant Authentification Google, sélectionnez le type d'authentification souhaité, puis cliquez sur Enregistrer.

Se connecter et se déconnecter

Une application peut détecter si un utilisateur s'est connecté avec l'option d'authentification choisie pour votre application. Si l'utilisateur n'est pas connecté, l'application peut le rediriger vers la page des comptes Google pour qu'il se connecte ou crée un compte. L'application obtient l'URL de la page de connexion en appelant une méthode de l'API Users. Elle peut afficher cette URL sous forme de lien, ou envoyer une redirection HTTP vers l'URL lorsque l'utilisateur accède à une page exigeant une authentification.

Si votre application utilise des comptes Google ou G Suite pour l'authentification, son nom apparaît sur la page de connexion lorsque l'utilisateur s'y connecte. Le nom affiché est le nom d'application que vous avez spécifié lors de son enregistrement. Vous pouvez le modifier dans le champ Nom de produit affiché pour les utilisateurs de la page Identifiants de la console Google Cloud Platform.

Une fois que l'utilisateur s'est connecté ou a créé un compte Google, il est redirigé vers votre application. L'application fournit l'URL de redirection à la méthode ayant généré l'URL de connexion.

L'API Users inclut une méthode de génération d'URL pour la déconnexion de l'application. L'URL de déconnexion désauthentifie l'utilisateur auprès de l'application, puis le redirige vers l'URL de l'application, sans que rien ne s'affiche.

Un utilisateur n'est pas connecté à une application avant d'y être invité par celle-ci et d'avoir saisi l'adresse e-mail ainsi que le mot de passe de son compte. Cela s'applique même si l'utilisateur s'est connecté à d'autres applications à partir de son compte Google.

Accéder aux informations de compte

Lorsqu'un utilisateur est connecté à une application, celle-ci peut accéder à l'adresse e-mail du compte pour chaque requête envoyée par l'utilisateur. L'application peut également accéder à un ID utilisateur qui authentifie celui-ci de manière unique, même s'il modifie l'adresse e-mail de son compte.

De plus, l'application peut déterminer si l'utilisateur actuel est un administrateur. Un administrateur est un utilisateur disposant du rôle primitif "Lecteur", "Éditeur" ou "Propriétaire", ou du rôle prédéfini "Administrateur App Engine". Vous pouvez utiliser cette fonctionnalité pour développer des fonctionnalités administratives pour l'application, même sans authentifier d'autres utilisateurs. Les API Go, Java, PHP et Python facilitent la configuration des URL réservées aux administrateurs.

Service Users et datastore

L'API du service Users peut renvoyer les informations sur l'utilisateur actuel sous forme d'un objet "User". Les objets "User" peuvent être stockés en tant que valeur de propriété dans le datastore. Toutefois, nous vous conseillons vivement d'éviter de le faire, car cela inclut l'adresse e-mail et l'ID unique de l'utilisateur. Si un utilisateur modifie son adresse e-mail et si vous comparez l'ancienne valeur User stockée à la nouvelle valeur User, elles ne correspondront pas. Envisagez plutôt d'utiliser la valeur d'ID utilisateur User comme identifiant unique stable de l'utilisateur.

Comptes Google et serveur de développement

Le serveur de développement simule le système de comptes Google en utilisant un écran de connexion factice. Lorsque votre application appelle l'API Users pour obtenir l'URL de l'écran de connexion, l'API renvoie une URL spéciale du serveur de développement qui invite l'utilisateur à saisir une adresse e-mail, mais pas de mot de passe. Vous pouvez saisir n'importe quelle adresse e-mail. L'application agit comme si vous étiez connecté avec un compte associé à cette adresse.

L'écran de connexion factice inclut également une case à cocher qui indique s'il s'agit d'un compte administrateur, c'est-à-dire si le compte dispose du rôle primitif "Lecteur", "Éditeur" ou "Propriétaire", ou du rôle prédéfini "Administrateur App Engine". Si vous cochez cette case, l'application agit comme si vous étiez connecté à partir d'un compte administrateur.

De la même manière, l'API Users renvoie une URL de déconnexion qui annule la connexion factice.

L'ID unique d'un objet "User" dans le serveur de développement est calculé à partir de l'adresse e-mail. Deux adresses e-mail uniques représentent toujours deux utilisateurs uniques dans le serveur de développement.

Cette page vous a-t-elle été utile ? Évaluez-la :

Envoyer des commentaires concernant…

Environnement standard App Engine pour Python