Halaman ini diterjemahkan oleh Cloud Translation API.

Autentikasi antarlayanan

OpenAPI | gRPC

Anda dapat mengimplementasikan autentikasi antar-layanan menggunakan akun layanan dalam layanan gRPC. Halaman ini menunjukkan autentikasi antarlayanan dengan memberikan contoh lengkap, termasuk cara mengonfigurasi Extensible Service Proxy (ESP) di layanan gRPC untuk mendukung permintaan yang diautentikasi dan cara memanggil layanan dari klien gRPC.

Agar layanan apa pun dapat melakukan panggilan terautentikasi ke Cloud Endpoints API, layanan panggilan harus memiliki akun layanan dan harus mengirim token autentikasi dalam panggilan. Pemanggil harus menggunakan token ID Google atau Token Web JSON (JWT) kustom yang hanya ditandatangani oleh akun layanan pemanggil. ESP memvalidasi bahwa klaim iss di JWT cocok dengan setelan issuer di konfigurasi layanan. ESP tidak memeriksa izin Identity and Access Management yang telah diberikan di akun layanan.

Pada contoh kami, Anda menyiapkan dan menggunakan bentuk autentikasi layanan-ke-layanan yang paling sederhana, dengan klien menggunakan akun layanan Google Cloud mereka untuk menghasilkan JWT autentikasi. Pendekatan untuk metode autentikasi lainnya serupa, meskipun proses sisi klien untuk mendapatkan token autentikasi yang valid bergantung pada metode autentikasi yang digunakan.

Sebelum memulai

Panduan ini menggunakan contoh Toko Buku yang digunakan dalam Tutorial kami.

Clone repo git tempat kode contoh gRPC dihosting:

git clone https://github.com/GoogleCloudPlatform/python-docs-samples.git

Ubah direktori kerja Anda:

cd python-docs-samples/endpoints/bookstore-grpc/

Ikuti petunjuk di Tutorial untuk menyiapkan project jika Anda belum memilikinya.

Dalam contoh ini, Anda menggunakan deployment ke Google Kubernetes Engine, meskipun penyiapan autentikasi untuk Compute Engine sama.

Dalam contoh, ada dua project Google Cloud Platform yang dirujuk:

Project produser layanan, yaitu project yang memiliki Cloud Endpoints untuk layanan gRPC.
Project konsumen layanan, yang merupakan project yang memiliki klien gRPC.

Membuat akun dan kunci layanan konsumen

Untuk membuat akun dan kunci layanan untuk project konsumen:

Di konsol Google Cloud, buka APIs & services.
API & layanan
Pastikan Anda berada dalam project konsumen.
Pada halaman Credentials, di menu drop-down Create Credentials, pilih Service Account Key.
Di halaman Create service account key, pilih akun layanan yang ingin Anda gunakan jika sudah memiliki akun layanan. Atau, di menu drop-down Service account, pilih New service account dan ketik nama akun.

ID Akun layanan yang sesuai telah dibuat untuk Anda. Catat ID ini karena diperlukan di bagian berikut. Contoh:
```
service-account-name@YOUR_PROJECT_ID.iam.gserviceaccount.com
```
Klik menu drop-down Peran, lalu pilih peran berikut:
- Akun Layanan > Service Account User
- Akun Layanan > Service Account Token Creator
Pastikan jenis kunci JSON dipilih.
Klik Create. File kunci JSON akun layanan Anda didownload ke komputer lokal. Catat lokasi dan pastikan lokasinya disimpan dengan aman karena digunakan nanti untuk membuat token.

Mengonfigurasi autentikasi untuk layanan

Gunakan project produser untuk semua langkah di bagian ini.

Menyiapkan autentikasi dalam konfigurasi gRPC API

Authentication untuk ESP dikonfigurasi di bagian authentication dari file YAML konfigurasi gRPC API Anda. Konfigurasi dengan autentikasi untuk layanan contoh ini berada di api_config_auth.yaml.

authentication:
  providers:
  - id: google_service_account
    # Replace SERVICE-ACCOUNT-ID with your service account's email address.
    issuer: SERVICE-ACCOUNT-ID
    jwks_uri: https://www.googleapis.com/robot/v1/metadata/x509/SERVICE-ACCOUNT-ID
  rules:
  # This auth rule will apply to all methods.
  - selector: "*"
    requirements:
      - provider_id: google_service_account

Bagian providers menentukan penyedia autentikasi yang ingin Anda gunakan - dalam hal ini, Anda ingin menggunakan akun layanan Google sebagai penyedia autentikasi. Bagian rules menentukan bahwa Anda memerlukan token dari penyedia ini agar dapat mengakses semua metode layanan Anda.

Dalam salinan file ini Anda sendiri dari repo yang di-clone:

Ubah MY_PROJECT_ID ke ID project produser Anda.
Ubah SERVICE-ACCOUNT-ID di bagian authentication (di nilai issuer dan jwks_uri) menjadi ID akun layanan konsumen yang Anda catat di bagian sebelumnya. Hal ini akan memberi tahu ESP bahwa Anda ingin memberikan akses ke layanan kepada pengguna yang memberikan token valid dari akun layanan tersebut.
Secara opsional, tambahkan jwt_locations di bagian elemen providers. Anda bisa menggunakan nilai ini untuk menentukan lokasi JWT kustom. Lokasi JWT default adalah metadata Authorization (diawali dengan "Bearer ") dan metadata X-Goog-Iap-Jwt-Assertion.

Simpan file untuk langkah berikutnya.

Men-deploy konfigurasi dan layanan

Langkah-langkah ini sama seperti di Mulai menggunakan gRPC di GKE:

Deploy konfigurasi layanan ke Endpoint: Anda harus melakukannya meskipun Anda melakukannya untuk tutorial, karena ini adalah konfigurasi yang berbeda. Perhatikan nama layanan yang ditampilkan:
```
gcloud endpoints services deploy api_descriptor.pb api_config_auth.yaml --project PRODUCER_PROJECT
```
Buat cluster container dan autentikasi kubectl ke cluster, jika Anda belum melakukannya.
Deploy contoh API dan ESP ke cluster. Jika menggunakan project produsen dan konsumen terpisah, pastikan Anda telah menetapkan project yang sesuai dalam alat command line gcloud terlebih dahulu:
```
gcloud config set project PRODUCER_PROJECT
```

Memanggil metode terautentikasi dari klien gRPC

Terakhir, di sisi klien, Anda dapat menggunakan kunci akun layanan untuk membuat token JWT, lalu menggunakan token tersebut untuk memanggil metode Bookstore yang diautentikasi. Pertama, instal persyaratan Python yang sesuai untuk membuat token dan menjalankan contoh klien. Pastikan Anda berada di folder python-docs-samples/endpoints/bookstore-grpc dari klien yang di-clone, lalu:

virtualenv bookstore-env
source bookstore-env/bin/activate
pip install -r requirements.txt

Membuat token JWT

Dalam contoh ini, Toko Buku menggunakan autentikasi layanan-ke-layanan yang layanan panggilannya hanya diautentikasi oleh akun layanannya, sehingga pembuatan token yang sesuai untuk dikirim dengan permintaan kami menjadi mudah. Perlu diperhatikan bahwa Anda juga dapat mewajibkan autentikasi service-to-service yang lebih ketat karena token yang dihasilkan harus diautentikasi lebih lanjut oleh Google (menggunakan token ID Google).

Untuk contoh ini, skrip Python yang disediakan dapat menghasilkan token dari file kunci JSON yang didownload sebelumnya, menggunakan email dan ID pengguna dummy.

#!/usr/bin/env python

# Copyright 2016 Google Inc. All Rights Reserved.
#
# Licensed under the Apache License, Version 2.0 (the "License");
# you may not use this file except in compliance with the License.
# You may obtain a copy of the License at
#
#     http://www.apache.org/licenses/LICENSE-2.0
#
# Unless required by applicable law or agreed to in writing, software
# distributed under the License is distributed on an "AS IS" BASIS,
# WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
# See the License for the specific language governing permissions and
# limitations under the License.

"""Example of generating a JWT signed from a service account file."""

import argparse
import json
import time

import google.auth.crypt
import google.auth.jwt

"""Max lifetime of the token (one hour, in seconds)."""
MAX_TOKEN_LIFETIME_SECS = 3600


def generate_jwt(service_account_file, issuer, audiences):
    """Generates a signed JSON Web Token using a Google API Service Account."""
    with open(service_account_file) as fh:
        service_account_info = json.load(fh)

    signer = google.auth.crypt.RSASigner.from_string(
        service_account_info["private_key"], service_account_info["private_key_id"]
    )

    now = int(time.time())

    payload = {
        "iat": now,
        "exp": now + MAX_TOKEN_LIFETIME_SECS,
        # aud must match 'audience' in the security configuration in your
        # swagger spec. It can be any string.
        "aud": audiences,
        # iss must match 'issuer' in the security configuration in your
        # swagger spec. It can be any string.
        "iss": issuer,
        # sub and email are mapped to the user id and email respectively.
        "sub": issuer,
        "email": "user@example.com",
    }

    signed_jwt = google.auth.jwt.encode(signer, payload)
    return signed_jwt


if __name__ == "__main__":
    parser = argparse.ArgumentParser(
        description=__doc__, formatter_class=argparse.RawDescriptionHelpFormatter
    )
    parser.add_argument("--file", help="The path to your service account json file.")
    parser.add_argument("--issuer", default="", help="issuer")
    parser.add_argument("--audiences", default="", help="audiences")

    args = parser.parse_args()

    signed_jwt = generate_jwt(args.file, args.issuer, args.audiences)
    print(signed_jwt.decode("utf-8"))

Untuk membuat token menggunakan skrip:

Buat token JWT dan tetapkan ke variabel $JWT_TOKEN:
```
JWT_TOKEN=$(python jwt_token_gen.py \
    --file=[SERVICE_ACCOUNT_FILE] \
    --audiences=[SERVICE_NAME] \
    --issuer=[SERVICE-ACCOUNT-ID])
```
dengan:
- [SERVICE_ACCOUNT_FILE] adalah file kunci JSON akun layanan konsumen yang didownload.
- [SERVICE_NAME] adalah nama layanan Toko Buku yang ditampilkan saat Anda men-deploy konfigurasi layanan yang diperbarui ke Endpoint.
- [SERVICE-ACCOUNT-ID] adalah ID akun layanan konsumen lengkap saat Anda membuat akun layanan.

Melakukan panggilan gRPC yang diautentikasi

Langkah terakhir ini menggunakan bookstore_client.py, yang merupakan klien yang sama dengan yang digunakan dalam Tutorial. Untuk melakukan panggilan yang diautentikasi, klien meneruskan JWT sebagai metadata dengan panggilan metodenya.

def run(
    host, port, api_key, auth_token, timeout, use_tls, servername_override, ca_path

Untuk menjalankan contoh:

Gunakan kubectl get services untuk mendapatkan alamat IP eksternal bagi Bookstore yang di-deploy:

#kubectl get services
NAME                 CLUSTER-IP      EXTERNAL-IP      PORT(S)           AGE
echo                 10.11.246.240   104.196.186.92   80/TCP            10d
endpoints            10.11.243.168   104.196.210.50   80/TCP,8090/TCP   10d
esp-grpc-bookstore   10.11.254.34    104.196.60.37    80/TCP            1d
kubernetes           10.11.240.1     <none>           443/TCP           10d

Dalam hal ini, layanannya adalah layanan esp-grpc-bookstore dan IP eksternalnya adalah 104.196.60.37.

Tetapkan alamat IP ke variabel EXTERNAL_IP
```
EXTERNAL_IP=104.196.60.37
```
Tampilkan daftar semua rak dari layanan Toko Buku:
```
python bookstore_client.py --port=80 --host=$EXTERNAL_IP --auth_token=$JWT_TOKEN
```
Layanan ini menampilkan semua rak di Toko Buku saat ini. Anda dapat memeriksanya kembali dengan tidak memberikan token, atau dengan menentukan ID akun layanan yang salah saat membuat JWT. Perintah akan gagal.

Langkah selanjutnya

Memecahkan masalah validasi JWT