Autenticazione con un account di servizio

Prerequisiti

In questa pagina si presuppone che tu abbia già:

Configurazione dell'autenticazione

Per autenticarti con un account di servizio:

  1. Aggiungi quanto segue al tuo @Api :

    • Aggiungi un parametro authenticators all'annotazione, impostato sul valore {EspAuthenticator.class}.
    • Aggiungi un parametro issuers contenente un @ApiIssuer.
    • Aggiungi un parametro issuerAudiences contenente un valore @ApiIssuerAudience impostato sull'emittente dell'account di servizio e sul pubblico.

    Ad esempio:

    @Api(
    name = "echo",
    version = "v1",
    authenticators = {EspAuthenticator.class},
    issuers = {
        @ApiIssuer(
            name = "serviceAccount",
            issuer = "YOUR_SERVICE_ACCOUNT_EMAIL",
            jwksUri = "https://www.googleapis.com/robot/v1/metadata/x509/YOUR_SERVICE_ACCOUNT_EMAIL")
    },
    issuerAudiences = {
        @ApiIssuerAudience(name = "serviceAccount", audiences = "YOUR_AUDIENCE")
    })
    • Sostituisci echo con il nome dell'API.
    • Sostituisci v1 con la versione dell'API.
    • Sostituisci YOUR_SERVICE_ACCOUNT_EMAIL con l'indirizzo email dell'account di servizio.
    • Sostituisci YOUR_AUDIENCE con il valore nella colonna aud inviato dal servizio chiamante.

  2. Nel codice di implementazione dell'API, importa Users:

    import com.google.api.server.spi.auth.common.User;

  3. In ogni metodo API in cui vuoi verificare la corretta autenticazione, verifica la presenza di un valore User valido e genera un'eccezione se non è presente, come mostrato in questa definizione di metodo di esempio:

    @ApiMethod(httpMethod = ApiMethod.HttpMethod.GET)
public Email getUserEmail(User user) throws UnauthorizedException {
  if (user == null) {
    throw new UnauthorizedException("Invalid credentials");
  }

  Email response = new Email();
  response.setEmail(user.getEmail());
  return response;
}

  4. Distribuisci l'API . Devi rieseguire il deployment dell'API ogni volta che aggiungi nuovi client.