Questa pagina illustra i tipi di token utilizzati per l'autenticazione sulle API di Google, Servizi Google Cloud e servizi creati dal cliente ospitati su Google Cloud.
Se accedi alle API e ai servizi Google tramite utilizzando una libreria client, puoi configurare Credenziali predefinite dell'applicazione e la libreria client e gestisce i token al posto tuo. Questo è l'approccio consigliato.
Che cosa sono i token
Per l'autenticazione e l'autorizzazione, un token è un oggetto digitale che contiene informazioni sull'identità dell'entità che effettua la richiesta e sul tipo di accesso per cui sono autorizzati. Nella maggior parte dei flussi di autenticazione, un'applicazione (o una libreria usata dall'applicazione) scambia una la credenziale per un token, che determina le risorse a cui l'applicazione autorizzato ad accedere.
Tipi di token
Vengono utilizzati tipi di token diversi in ambienti diversi. Le seguenti i tipi di token sono descritti in questa pagina:
- Token di accesso
- Token ID
- JWT autofirmati
- Token di aggiornamento
- Token federati
- Token di connessione
Token di accesso
I token di accesso sono token opachi conformi alle Framework OAuth 2.0. Contengono le autorizzazioni ma non informazioni sull'identità. Sono utilizzati per autenticare e fornire informazioni sull'autorizzazione alle API di Google.
Se usi Credenziali predefinite dell'applicazione (ADC) e librerie client di Cloud o librerie client delle API di Google, non sono necessarie per gestire i token di accesso, le librerie recuperano automaticamente le credenziali, scambialo con un token di accesso e aggiornalo in base alle esigenze.
Accedi ai contenuti del token
I token di accesso sono token opachi, il che significa che si trovano in un formato; le applicazioni non possono controllarli.
Puoi ottenere le informazioni da un
token di accesso valido (non scaduto o revocato) utilizzando OAuth 2.0 di Google
Endpoint tokeninfo
.
Sostituisci ACCESS_TOKEN con il token di accesso valido e non scaduto.
curl "https://oauth2.googleapis.com/tokeninfo?access_token=ACCESS_TOKEN"
Questo comando restituisce una risposta simile all'esempio seguente:
{ "azp": "32553540559.apps.googleusercontent.com", "aud": "32553540559.apps.googleusercontent.com", "sub": "111260650121245072906", "scope": "openid https://www.googleapis.com/auth/userinfo.email https://www.googleapis.com/auth/cloud-platform https://www.googleapis.com/auth/accounts.reauth", "exp": "1650056632", "expires_in": "3488", "email": "user@example.com", "email_verified": "true" }
La seguente tabella elenca i campi più importanti da comprendere:
Campo | Descrizione |
---|---|
azp |
Il progetto, l'email o l'ID account di servizio dell'applicazione che
ha richiesto il token. Questo valore viene incluso solo se
https://www.googleapis.com/auth/userinfo.email è
specificato nell'elenco degli ambiti.
|
scope |
Gli ambiti OAuth che sono stati aggiunti a questo token di accesso. Per
Google Cloud, come best practice utilizzare
https://www.googleapis.com/auth/cloud-platform
che include tutte le API Google Cloud, insieme
Identity and Access Management (IAM),
che fornisce un controllo dell'accesso granulare.
|
expires_in |
Il numero di secondi prima della scadenza del token. Per ulteriori informazioni, vedi Durata del token di accesso. |
Durata del token di accesso
Per impostazione predefinita, i token di accesso sono validi per un'ora (3600 secondi). Quando il token di accesso scaduto, il codice di gestione token deve riceverne uno nuovo.
Se ti serve un token di accesso con una durata più lunga o più breve, puoi utilizzare
Metodo serviceAccounts.generateAccessToken
per creare il token. Questo metodo ti consente di scegliere la durata
con una durata massima di 12 ore.
Se vuoi estendere la durata del token oltre quella predefinita, devi creare un
dell'organizzazione che abilita
Vincolo iam.allowServiceAccountCredentialLifetimeExtension
.
Non puoi creare token di accesso con una durata estesa per le credenziali utente
o identità esterne. Per ulteriori informazioni, vedi
Creare un token di accesso di breve durata.
Token ID
I token ID sono JWT (Web Token) JSON conformi alle la specifica OpenID Connect (OIDC). Sono ed è composta da un insieme di coppie chiave/valore chiamate claim
A differenza dei token di accesso, che sono oggetti opachi che non possono essere ispezionati i token ID devono essere ispezionati e utilizzati dall'applicazione. Informazioni del token, ad esempio Chi ha firmato il token o l'identità di il token ID può essere utilizzato dall'applicazione.
Per ulteriori informazioni sull'implementazione di OIDC da parte di Google, vedi OpenID Connect. Per le best practice per l'uso dei JWT, vedi Best practice correnti per i token web JSON.Contenuti token ID
Puoi controllare un token ID valido (non scaduto o revocato) utilizzando la proprietà
Endpoint tokeninfo
.
Sostituisci ID_TOKEN con il token ID valido e non scaduto.
curl "https://oauth2.googleapis.com/tokeninfo?id_token=ID_TOKEN"
Questo comando restituisce una risposta simile all'esempio seguente:
{ "iss": "https://accounts.google.com", "azp": "32555350559.apps.googleusercontent.com", "aud": "32555350559.apps.googleusercontent.com", "sub": "111260650121185072906", "hd": "google.com", "email": "user@example.com", "email_verified": "true", "at_hash": "_LLKKivfvfme9eoQ3WcMIg", "iat": "1650053185", "exp": "1650056785", "alg": "RS256", "kid": "f1338ca26835863f671403941738a7b49e740fc0", "typ": "JWT" }
La seguente tabella descrive le rivendicazioni dei token ID richieste o comunemente utilizzate:
Richiedi | Descrizione |
---|---|
iss |
L'emittente, o firmatario, del token. Per i token ID firmati da Google,
è https://accounts.google.com .
|
azp |
Facoltativo. A chi è stato inviato il token. |
aud |
Il pubblico del token. Il valore di questa dichiarazione deve corrispondere
un'applicazione o un servizio che utilizza il token per autenticare la richiesta.
Per ulteriori informazioni, vedi
Rivendicazione del token ID aud .
|
sub |
L'oggetto: l'ID che rappresenta l'entità che effettua la richiesta. |
iat |
Ora dell'epoca Unix quando è stato emesso il token. |
exp |
Ora dell'epoca Unix alla scadenza del token. |
Potrebbero essere presenti altre rivendicazioni, a seconda dell'emittente e della richiesta.
Richiesta di token ID aud
L'attestazione aud
descrive il nome del servizio che questo token è stato creato per richiamare.
Se un servizio riceve un token ID, deve verificarne l'integrità (firma),
(è scaduta) e se la rivendicazione aud
corrisponde al nome previsto.
Se non corrisponde, il servizio dovrebbe rifiutare il token, perché potrebbe essere
una replica destinata a un altro sistema.
In genere, quando ricevi un token ID, utilizzi le credenziali
da un account di servizio
anziché da credenziali utente. Questo perché
L'attestazione aud
per i token ID generati utilizzando le credenziali utente è legata in modo statico
all'applicazione utilizzata dall'utente per l'autenticazione. Quando utilizzi un account di servizio
per acquisire un token ID, puoi specificare un valore diverso per la richiesta aud
.
Durata del token ID
I token ID sono validi per un massimo di 1 ora (3600 secondi). Quando un token ID scade, devi acquisirne uno nuovo.
Convalida token ID
Quando il tuo servizio o la tua applicazione utilizza un servizio Google come Cloud Run, Cloud Functions o Identity-Aware Proxy, Google convalida l'ID di token per te; in questi casi, i token ID devono essere firmati da Google.
Se hai bisogno di convalidare i token ID all'interno dell'applicazione, puoi farlo anche se si tratta di un flusso di lavoro avanzato. Per informazioni, vedi Convalida di un token ID.
JWT (JSON Web Token) autofirmati
Puoi utilizzare JWT autofirmati per l'autenticazione su alcune API di Google senza dover ottenere un token di accesso dal server di autorizzazione.Ti consigliamo di creare JWT autofirmati se stai creando il tuo client librerie per accedere alle API di Google, ma è un flusso di lavoro avanzato. Per ulteriori informazioni informazioni sui JWT autofirmati, consulta Creazione di un token web JSON autofirmato. Per le best practice per l'uso dei JWT, vedi Best practice correnti per i token web JSON.
Aggiorna token
L'IdP gestisce la durata dei token di lunga durata. Un'eccezione è file ADC locali, contenenti i token di aggiornamento utilizzati dall'autenticazione per aggiornare automaticamente i token di accesso per le librerie client.
Token federati
I token federati vengono usati come passaggio intermedio Federazione delle identità per i carichi di lavoro. I token federati vengono restituiti Security Token Service e non può essere utilizzato direttamente. Devono essere ha scambiato un token di accesso utilizzando l'account di servizio il furto d'identità.
Token di connessione
I token di connessione sono una classe generale di token che concede l'accesso al in possesso del token. Token di accesso, token ID e JWT autofirmati sono tutti token di connessione.
L'utilizzo dei token di connessione per l'autenticazione si basa sulla sicurezza fornita
Un protocollo criptato, ad esempio HTTPS
. se un token di connessione viene intercettato, può
può essere usato da un utente malintenzionato per ottenere l'accesso.
Passaggi successivi
- Scopri come configurare le credenziali per ADC.
- Leggi le informazioni su come ottenere i token ID.
- Scopri di più sui metodi di autenticazione.