Oltre ad autenticare gli utenti, potresti dover consentire ad altri servizi di interagire con la tua API. Mentre le applicazioni client possono fornire agli utenti un prompt di accesso web per inviare le proprie credenziali, è necessario un altro approccio per la comunicazione sicura tra servizi. Questa pagina mostra l'approccio che consigliamo per implementare l'autenticazione tra i servizi e fornisce codice campione.
Panoramica
Per identificare un servizio che invia richieste alla tua API, utilizza un service account. Il servizio chiamante utilizza la chiave privata dell'account di servizio per firmare un JSON Web Token (JWT) sicuro e invia il JWT firmato nella richiesta alla tua API.
Per implementare l'autenticazione da servizio a servizio nell'API e nel servizio chiamante:
- Crea un account di servizio e una chiave da utilizzare per il servizio di chiamata.
- Aggiungi il supporto per l'autenticazione nel documento OpenAPI per il tuo servizio Cloud Endpoints.
Aggiungi al servizio di chiamate un codice che:
- Crea un JWT e lo firma con la chiave privata del account di servizio.
- Invia il JWT firmato in una richiesta all'API.
ESP convalida che le rivendicazioni nel JWT corrispondano alla configurazione nel documento OpenAPI prima di inoltrare la richiesta alla tua API. ESP non verifica le autorizzazioni di Cloud Identity che hai concesso all'account di servizio.
Prerequisiti
Questa pagina presuppone che tu abbia già:
Creazione di un account di servizio con una chiave
Devi disporre di un account di servizio con un file di chiave privata che il servizio chiamante utilizza per firmare il JWT. Se hai più di un servizio che invia richieste alla tua API, puoi creare un account di servizio per rappresentare tutti i servizi chiamanti. Se devi distinguere tra i servizi, ad esempio perché potrebbero avere autorizzazioni diverse, puoi creare un account di servizio e una chiave per ogni servizio di chiamata.
Questa sezione mostra come utilizzare la console Google Cloud e lo strumento a riga di comando gcloud
per creare il account di servizio e il file della chiave privata e per assegnare al account di servizio il ruolo Creatore token service account. Per informazioni sull'utilizzo di un'API per eseguire questa attività, vedi
Creazione e gestione dei service account.
Per creare un account di servizio e una chiave:
Console Google Cloud
Crea un account di servizio:
Nella console Google Cloud , vai alla pagina Crea service account.
Seleziona il progetto che vuoi utilizzare.
Nel campo Nome account di servizio, inserisci un nome.
(Facoltativo) Nel campo Descrizione service account, inserisci una descrizione.
Fai clic su Crea.
Fai clic su Fine.
Non chiudere la finestra del browser. Lo utilizzerai nel passaggio successivo.
Crea una chiave dell'account di servizio:
- Nella console Google Cloud , fai clic sull'indirizzo email del account di servizio che hai creato.
- Fai clic su Chiavi.
- Fai clic su Aggiungi chiave, poi su Crea nuova chiave.
- Fai clic su Crea. Un file JSON contenente la chiave privata dell'account di servizio viene scaricato sul computer.
- Fai clic su Chiudi.
gcloud
Puoi eseguire i seguenti comandi utilizzando Google Cloud CLI sulla tua macchina locale o in Cloud Shell.
Imposta l'account predefinito per
gcloud
. Se hai più di un account, assicurati di scegliere l'account che si trova nel Google Cloud progetto che vuoi utilizzare.gcloud auth login
Visualizza gli ID progetto per i tuoi progetti Google Cloud .
gcloud projects list
Imposta il progetto predefinito. Sostituisci
PROJECT_ID
con l'ID progetto Google Cloud che vuoi utilizzare.gcloud config set project PROJECT_ID
Crea un account di servizio. Sostituisci
SA_NAME
eSA_DISPLAY_NAME
con il nome e il nome visualizzato che vuoi utilizzare.gcloud iam service-accounts create SA_NAME \ --display-name "SA_DISPLAY_NAME"
Visualizza l'indirizzo email del account di servizio che hai appena creato.
gcloud iam service-accounts list
Aggiungi il ruolo Creatore token service account. Sostituisci
SA_EMAIL_ADDRESS
con l'indirizzo email del account di servizio.gcloud projects add-iam-policy-binding PROJECT_ID \ --member serviceAccount:SA_EMAIL_ADDRESS \ --role roles/iam.serviceAccountTokenCreator
Crea un file della chiave del account di servizio nella directory di lavoro corrente. Sostituisci
FILE_NAME
con il nome che vuoi utilizzare per il file della chiave. Per impostazione predefinita, il comandogcloud
crea un file JSON.gcloud iam service-accounts keys create FILE_NAME.json \ --iam-account SA_EMAIL_ADDRESS
Per ulteriori informazioni sui comandi precedenti, consulta il
riferimento gcloud
.
Per informazioni sulla protezione della chiave privata, vedi Best practice per la gestione delle credenziali.
Configurazione dell'API per supportare l'autenticazione
Devi avere un oggetto requisito di sicurezza e un oggetto definizioni di sicurezza nel documento OpenAPI affinché ESP convalidi le rivendicazioni nel JWT firmato.
Aggiungi l'account di servizio come emittente nel documento OpenAPI.
securityDefinitions: DEFINITION_NAME: authorizationUrl: "" flow: "implicit" type: "oauth2" x-google-issuer: "SA_EMAIL_ADDRESS" x-google-jwks_uri: "https://www.googleapis.com/robot/v1/metadata/x509/SA_EMAIL_ADDRESS"
- Sostituisci
DEFINITION_NAME
con una stringa che identifica questa definizione di sicurezza. Ti consigliamo di sostituirlo con il nome dell'account di servizio o con un nome che identifichi il servizio chiamante. - Sostituisci
SA_EMAIL_ADDRESS
con l'indirizzo email del service account. - Puoi definire più definizioni di sicurezza nel documento OpenAPI, ma
ogni definizione deve avere un
x-google-issuer
diverso. Se hai creato service account separati per ogni servizio di chiamata, puoi creare una definizione di sicurezza per ognaccount di serviziont, ad esempio:
securityDefinitions: service-1: authorizationUrl: "" flow: "implicit" type: "oauth2" x-google-issuer: "service-1@example-project-12345.iam.gserviceaccount.com" x-google-jwks_uri: "https://www.googleapis.com/robot/v1/metadata/x509/service-1@example-project-12345.iam.gserviceaccount.com" service-2: authorizationUrl: "" flow: "implicit" type: "oauth2" x-google-issuer: "service-2@example-project-12345.iam.gserviceaccount.com" x-google-jwks_uri: "https://www.googleapis.com/robot/v1/metadata/x509/service-2@example-project-12345.iam.gserviceaccount.com"
- Sostituisci
(Facoltativo) Aggiungi
x-google-audiences
alla sezionesecurityDefinitions
. Se non aggiungix-google-audiences
, ESP richiede che l'attestazione"aud"
(pubblico) nel JWT sia nel formatohttps://SERVICE_NAME
, dove SERVICE_NAME è il nome del tuo servizio Endpoints, che hai configurato nel campohost
del tuo documento OpenAPI, a meno che non venga utilizzato il flag--disable_jwt_audience_service_name_check
. Se il flag viene utilizzato ex-google-audiences
non è specificato, il campo JWTaud
non viene selezionato.(Facoltativo) Aggiungi
x-google-jwt-locations
alla sezionesecurityDefinitions
. Puoi utilizzare questo valore per definire una posizione JWT personalizzata. Le posizioni predefinite del JWT sono l'intestazioneAuthorization
(con il prefisso "Bearer "), l'intestazioneX-Goog-Iap-Jwt-Assertion
o il parametro di queryaccess_token
. Nota:- Se specifichi
x-google-jwt-locations
, Endpoints ignora tutte le località predefinite. x-google-jwt-locations
è supportato solo da ESPv2.
- Se specifichi
Aggiungi una sezione
security
al primo livello del file (senza rientro o nidificazione) da applicare all'intera API o a livello di metodo da applicare a un metodo specifico. Se utilizzi le sezionisecurity
sia a livello di API sia a livello di metodo, le impostazioni a livello di metodo sostituiscono quelle a livello di API.security: - DEFINITION_NAME: []
- Sostituisci
DEFINITION_NAME
con il nome che hai utilizzato nella sezionesecurityDefinitions
. Se hai più di una definizione nella sezione
securityDefinitions
, aggiungile nella sezionesecurity
, ad esempio:security: - service-1: [] - service-2: []
- Sostituisci
Esegui il deployment del documento OpenAPI aggiornato. Sostituisci
OPENAPI_DOC
con il nome del tuo documento OpenAPI.gcloud endpoints services deploy OPENAPI_DOC
Prima che ESP inoltri una richiesta alla tua API, ESP verifica:
- La firma del JWT utilizzando la chiave pubblica, che si trova nell'URI
specificato nel campo
x-google-jwks_uri
del documento OpenAPI. - L'attestazione
"iss"
(emittente) nel JWT corrisponda al valore specificato nel campox-google-issuer
. - Che l'attestazione
"aud"
(pubblico) nel JWT contenga il nome del servizio Endpoints o corrisponda a uno dei valori specificati nel campox-google-audiences
. - Che il token non sia scaduto utilizzando l'attestazione
"exp"
(ora di scadenza).
Per ulteriori informazioni su x-google-issuer
, x-google-jwks_uri
,
x-google-audiences
e x-google-jwt-locations
, consulta Estensioni OpenAPI.
Invio di una richiesta autenticata a un'API Endpoints
Per effettuare una richiesta autenticata, il servizio chiamante invia un JWT firmato dall'account di servizio specificato nel documento OpenAPI. Il servizio di chiamata deve:
- Crea un JWT e firmalo con la chiave privata del account di servizio.
- Invia il JWT firmato in una richiesta all'API.
Il seguente codice campione mostra questa procedura per alcune lingue. Per effettuare una richiesta autenticata in altre lingue, consulta jwt.io per un elenco delle librerie supportate.
-
Nel servizio chiamante, aggiungi la seguente funzione e trasmetti i seguenti parametri:
Java -
saKeyfile
: il percorso completo del file della chiave privata del account di servizio. -
saEmail
: l'indirizzo email del account di servizio. -
audience
: se hai aggiunto il campox-google-audiences
al documento OpenAPI, impostaaudience
su uno dei valori specificati perx-google-audiences
. In caso contrario, impostaaudience
suhttps://SERVICE_NAME
, doveSERVICE_NAME
è il nome del servizio Endpoints. -
expiryLength
: l'ora di scadenza del JWT, in secondi.
Python -
sa_keyfile
: il percorso completo del file della chiave privata del account di servizio. -
sa_email
: l'indirizzo email del account di servizio. -
audience
: se hai aggiunto il campox-google-audiences
al documento OpenAPI, impostaaudience
su uno dei valori che hai specificato perx-google-audiences
. In caso contrario, impostaaudience
suhttps://SERVICE_NAME
, doveSERVICE_NAME
è il nome del servizio Endpoints. -
expiry_length
: l'ora di scadenza del JWT, in secondi.
Vai -
saKeyfile
: il percorso completo del file della chiave privata del account di servizio. -
saEmail
: l'indirizzo email del account di servizio. -
audience
: se hai aggiunto il campox-google-audiences
al documento OpenAPI, impostaaudience
su uno dei valori che hai specificato perx-google-audiences
. In caso contrario, impostaaudience
suhttps://SERVICE_NAME
, doveSERVICE_NAME
è il nome del servizio Endpoints. -
expiryLength
: l'ora di scadenza del JWT, in secondi.
La funzione crea un JWT, lo firma utilizzando il file della chiave privata e restituisce il JWT firmato.
Java Python Vai -
-
Nel servizio chiamante, aggiungi la seguente funzione per inviare il JWT firmato
nell'intestazione
Authorization: Bearer
nella richiesta all'API:Java Python Vai
Quando invii una richiesta utilizzando un JWT, per motivi di sicurezza ti
consigliamo di inserire il token di autenticazione nell'intestazione Authorization: Bearer
. Ad esempio:
curl --request POST \ --header "Authorization: Bearer ${TOKEN}" \ "${ENDPOINTS_HOST}/echo"
dove ENDPOINTS_HOST
e TOKEN
sono variabili di ambiente contenenti rispettivamente il nome host API e il token di autenticazione.
Ricevere risultati autenticati nell'API
In genere, l'ESP inoltra tutte le intestazioni che riceve. Tuttavia, esegue l'override dell'intestazione
Authorization
originale quando l'indirizzo di backend è specificato da
x-google-backend
nella specifica OpenAPI o da BackendRule
nella configurazione del servizio gRPC.
ESP invierà il risultato dell'autenticazione in X-Endpoint-API-UserInfo
all'API di backend. Ti consigliamo di utilizzare questa intestazione anziché l'intestazione
Authorization
originale. Questa intestazione è una stringa che base64url
codifica
un oggetto JSON. Il formato dell'oggetto JSON varia tra ESPv2 ed ESP.
Per ESPv2, l'oggetto JSON è esattamente il payload JWT originale. Per ESP,
l'oggetto JSON utilizza nomi di campi diversi e inserisce il payload JWT originale nel campo claims
.
Per ulteriori informazioni sul formato, consulta la sezione Gestire i JWT nel servizio di backend.