Autenticazione degli utenti

In questa pagina viene descritto come aggiungere nella tua API il supporto per l'autenticazione utente da delle applicazioni client che utilizzano framework Cloud Endpoints. Tieni presente che Al momento sono supportati i client Android e JavaScript.

Endpoints Frameworks supporta l'autenticazione degli utenti da applicazioni client che utilizzano una delle seguenti metodologie:

• Autorizzazione Firebase
• Auth0
• Token ID Google

Indipendentemente dal metodo di autenticazione utilizzato, in ogni metodo dell'API in cui vuoi verificare l'autenticazione corretta, devi verificare la presenza di un User valido come descritto nelle sezioni seguenti:

• Autenticazione con Firebase Auth
• Autenticazione con Auth0
• Autenticazione con i token di ID Google

Prerequisiti

In questa pagina si presuppone che tu abbia già:

• Hai creato un account Google Cloud progetto.

• aggiunto la gestione dell'API;

Autenticazione con Firebase Auth

Per supportare le chiamate da clienti che utilizzano Firebase Auth:

1. Se non l'hai ancora fatto, crea un progetto Firebase. Progetti Firebase sono progetti della console Google Cloud che utilizzano i servizi Firebase. Per maggiori informazioni le informazioni, vedi Che cos'è un progetto Firebase? e ai documentazione di Firebase.

2. Aggiungi quanto segue al @Api o all'annotazione del metodo:

   • Aggiungi un parametro authenticators all'annotazione, impostato sul valore {EspAuthenticator.class}.
   • Aggiungi un parametro issuers contenente un @ApiIssuer impostato su Firebase.
   • Aggiungi un parametro issuerAudiences contenente un valore @ApiIssuerAudience impostato su Firebase e sull'ID progetto.

   Ad esempio:

   @Api(
       name = "YOUR_API_NAME",
       version = "VERSION_NUMBER",
       authenticators = {EspAuthenticator.class},
       issuers = {
           @ApiIssuer(
               name = "firebase",
               issuer = "https://securetoken.google.com/YOUR_PROJECT_ID",
               jwksUri = "https://www.googleapis.com/service_accounts/v1/metadata/x509/securetoken@system.gserviceaccount.com")
       },
       issuerAudiences = {
           @ApiIssuerAudience(name = "firebase", audiences = "YOUR_PROJECT_ID")
       })
   

   • Sostituisci YOUR_API_NAME con il nome dell'API.
   • Sostituisci VERSION_NUMBER con la versione dell'API, ad esempio v1.
   • Sostituisci entrambe le istanze di YOUR_PROJECT_ID con l'ID progetto Firebase.

3. Nel codice di implementazione dell'API, importa Users:

   import com.google.api.server.spi.auth.common.User;
   

4. In ogni metodo API in cui vuoi verificare la corretta autenticazione, verifica la presenza di un valore User valido e genera un'eccezione se non è presente, come mostrato in questa definizione di metodo di esempio:

   @ApiMethod(httpMethod = ApiMethod.HttpMethod.GET)
   public Email getUserEmail(User user) throws UnauthorizedException {
     if (user == null) {
       throw new UnauthorizedException("Invalid credentials");
     }
   
     Email response = new Email();
     response.setEmail(user.getEmail());
     return response;
   }
   

5. Riimplementa l'API ogni volta che aggiungi nuovi client.

Aggiunta dell'autenticazione Firebase a un client

Puoi aggiungere l'autenticazione Firebase al codice come descritto in Firebase documentazione. Al client deve essere associato un progetto Google Cloud e l'ID progetto deve essere elencato nella configurazione dell'emittente Firebase dell'API, come mostrato nella sezione precedente.

Autenticazione con Auth0

Per supportare le chiamate da client che utilizzano Auth0:

1. Aggiungi quanto segue al @Api o all'annotazione del metodo:

   • Aggiungi un parametro authenticators all'annotazione, impostato sul valore {EspAuthenticator.class}.
   • Aggiungi un parametro issuers contenente un @ApiIssuer impostato su Auth0.
   • Aggiungi un parametro issuerAudiences contenente un @ApiIssuerAudience impostato su Auth0 e il tuo ID client Auth0.

   Ad esempio:

   @Api(
       name = "YOUR_API_NAME",
       version = "VERSION_NUMBER",
       authenticators = {EspAuthenticator.class},
       issuers = {
           @ApiIssuer(
               name = "auth0",
               issuer = "https://YOUR_ACCOUNT_NAME.auth0.com/",
               jwksUri = "https://YOUR_ACCOUNT_NAME.auth0.com/.well-known/jwks.json")
        },
        issuerAudiences = {
            @ApiIssuerAudience(name = "auth0", audiences = "AUTH0_CLIENT_ID")
       })
   

   • Sostituisci YOUR_API_NAME con il nome dell'API.
   • Sostituisci VERSION_NUMBER con la tua versione API, per ad esempio v1.
   • Sostituisci YOUR_ACCOUNT_NAME con il nome dell'account Auth0 utilizzato per il cliente.
   • Sostituisci AUTH0_CLIENT_ID con l'ID che vuoi utilizzare per il tuo client.

2. Nel codice di implementazione dell'API, importa Users:

   import com.google.api.server.spi.auth.common.User;
   

3. In ogni metodo API in cui vuoi verificare la corretta autenticazione, verifica la presenza di un valore User valido e genera un'eccezione se non è presente, come mostrato in questa definizione di metodo di esempio:

   @ApiMethod(httpMethod = ApiMethod.HttpMethod.GET)
   public Email getUserEmail(User user) throws UnauthorizedException {
     if (user == null) {
       throw new UnauthorizedException("Invalid credentials");
     }
   
     Email response = new Email();
     response.setEmail(user.getEmail());
     return response;
   }
   

4. Riimplementa l'API ogni volta che aggiungi nuovi client.

Aggiunta dell'autenticazione Auth0 a un client

Puoi aggiungere l'autenticazione Auth0 al tuo codice come descritto in Auth0 documentazione. Il client deve essere elencato nella configurazione del proponente Auth0 dell'API.

Autenticazione con token ID Google

Per supportare le chiamate da client che si autenticano utilizzando i token ID Google:

1. Ottieni un ID client OAuth 2 per ogni applicazione client. Il cliente proprietario dell'applicazione deve generare l'ID client dalla console Google Cloud. Per le istruzioni, consulta Creare ID client.

2. Aggiungi una voce clientIds contenente l'ID client per ogni app client a cui stai concedendo l'accesso, nonché una voce audiences per ogni client Android, nel tuo Annotazione @Api.

   Ad esempio:

   @Api(
      name = "YOUR_API_NAME",
      version = "VERSION_NUMBER",
      clientIds = {"YOUR_CLIENT_ID"},
      audiences = {"YOUR_CLIENT_ID"}
   )
   

   • Sostituisci YOUR_API_NAME con il nome dell'API.
   • Sostituisci VERSION_NUMBER con la versione dell'API, ad esempio v1.
   • Sostituisci YOUR_CLIENT_ID con l'ID client OAuth 2 generato nel progetto dell'applicazione client.

3. Nel codice di implementazione dell'API, importa Users:

   import com.google.api.server.spi.auth.common.User;
   

4. In ogni metodo API in cui vuoi verificare la corretta autenticazione, controlla per un valore User valido e genera un'eccezione se non è presente, come mostrato in questa definizione di metodo di esempio:

   @ApiMethod(httpMethod = ApiMethod.HttpMethod.GET)
   public Email getUserEmail(User user) throws UnauthorizedException {
     if (user == null) {
       throw new UnauthorizedException("Invalid credentials");
     }
   
     Email response = new Email();
     response.setEmail(user.getEmail());
     return response;
   }
   

5. Riimplementa l'API ogni volta che aggiungi nuovi client.

Aggiunta dell'autenticazione tramite token ID Google a un client

Per informazioni sull'aggiunta di codice di autenticazione ai client, consulta le seguenti pagine:

• App Android

Invio di un JWT nel client

Se utilizzi un JWT nel client per inviare richieste autenticate all'API, il JWT deve trovarsi nell'intestazione di autorizzazione di una richiesta HTTP. Il JWT dovrebbe avere le seguenti rivendicazioni obbligatorie:

• iss
• sub
• aud
• iat
• exp

Passaggi successivi

Per informazioni di base sull'autenticazione utente e sulle differenze rispetto all'autorizzazione delle chiavi API, consulta Quando e perché utilizzare le chiavi API.