Mengautentikasi pengguna dengan Go

Menyiapkan project

1. Di jendela terminal, clone repositori aplikasi contoh ke komputer lokal Anda:

   git clone https://github.com/GoogleCloudPlatform/golang-samples.git

2. Ubah ke direktori yang berisi kode contoh:

   cd golang-samples/getting-started/authenticating-users

Latar belakang

Tutorial ini menggunakan IAP untuk mengautentikasi pengguna. Ini hanyalah salah satu dari beberapa pendekatan yang mungkin. Untuk mempelajari lebih lanjut berbagai metode untuk mengautentikasi pengguna, lihat bagian Konsep autentikasi.

Aplikasi Hello user-email-address

Aplikasi untuk tutorial ini adalah aplikasi App Engine Hello world minimal, dengan satu fitur yang tidak biasa: bukan "Hello world", aplikasi ini menampilkan "Hello user-email-address", dengan user-email-address adalah alamat email pengguna yang diautentikasi.

Fungsi ini dapat dilakukan dengan memeriksa informasi terautentikasi yang ditambahkan IAP ke setiap permintaan web yang diteruskan ke aplikasi Anda. Ada tiga header permintaan baru yang ditambahkan ke setiap permintaan web yang menjangkau aplikasi Anda. Dua header pertama adalah string teks biasa yang dapat Anda gunakan untuk mengidentifikasi pengguna. Header ketiga adalah objek yang ditandatangani secara kriptografis dengan informasi yang sama.

• X-Goog-Authenticated-User-Email: Alamat email pengguna mengidentifikasinya. Jangan menyimpan informasi pribadi jika aplikasi Anda dapat menghindarinya. Aplikasi ini tidak menyimpan data apa pun; aplikasi ini hanya akan mengulanginya kembali kepada pengguna.

• X-Goog-Authenticated-User-Id: ID pengguna ini yang ditetapkan oleh Google tidak menampilkan informasi tentang pengguna, tetapi memungkinkan aplikasi mengetahui bahwa pengguna yang login adalah pengguna yang sama dengan yang sebelumnya dilihat.

• X-Goog-Iap-Jwt-Assertion: Anda dapat mengonfigurasi aplikasi Google Cloud untuk menerima permintaan web dari aplikasi cloud lain, dengan mengabaikan IAP, selain permintaan web internet. Jika aplikasi dikonfigurasi sedemikian rupa, permintaan tersebut dapat memiliki header palsu. Daripada menggunakan salah satu header teks biasa yang disebutkan sebelumnya, Anda dapat menggunakan dan memverifikasi header yang ditandatangani secara kriptografis ini untuk memeriksa apakah informasi disediakan oleh Google. Alamat email pengguna dan ID pengguna persisten tersedia sebagai bagian dari header yang ditandatangani ini.

Jika Anda yakin bahwa aplikasi dikonfigurasi sehingga hanya permintaan web internet yang dapat menjangkaunya, dan tidak ada yang dapat menonaktifkan layanan IAP untuk aplikasi, mengambil ID pengguna unik hanya memerlukan satu baris kode:

userID := r.Header.Get("X-Goog-Authenticated-User-ID")

Namun, aplikasi yang tangguh harus mengantisipasi terjadinya masalah, termasuk konfigurasi atau masalah lingkungan yang tidak terduga, jadi sebaiknya buat fungsi yang menggunakan dan memverifikasi header yang ditandatangani secara kriptografis. Tanda tangan header tersebut tidak dapat dipalsukan, dan jika diverifikasi, dapat digunakan untuk menampilkan identifikasi.

Memahami kode

Bagian ini menjelaskan cara kerja kode. Jika ingin menjalankan aplikasi, Anda dapat melewati ke bagian Men-deploy aplikasi.

• File go.mod menentukan modul Go dan modul yang menjadi dependensinya.

  module github.com/GoogleCloudPlatform/golang-samples/getting-started/authenticating-users
  
  go 1.21
  
  require (
  	cloud.google.com/go/compute/metadata v0.5.0
  	github.com/golang-jwt/jwt v3.2.2+incompatible
  )
  
  require golang.org/x/sys v0.22.0 // indirect
  

• File app.yaml memberi tahu App Engine lingkungan bahasa yang diperlukan kode Anda.

  runtime: go112

• Aplikasi dimulai dengan mengimpor paket dan menentukan fungsi main. Fungsi main mendaftarkan pengendali indeks dan memulai server HTTP.

  
  // The authenticating-users program is a sample web server application that
  // extracts and verifies user identity data passed to it via Identity-Aware
  // Proxy.
  package main
  
  import (
  	"encoding/json"
  	"fmt"
  	"log"
  	"net/http"
  	"os"
  	"time"
  
  	"cloud.google.com/go/compute/metadata"
  	"github.com/golang-jwt/jwt"
  )
  
  // app holds the Cloud IAP certificates and audience field for this app, which
  // are needed to verify authentication headers set by Cloud IAP.
  type app struct {
  	certs map[string]string
  	aud   string
  }
  
  func main() {
  	a, err := newApp()
  	if err != nil {
  		log.Fatal(err)
  	}
  
  	http.HandleFunc("/", a.index)
  
  	port := os.Getenv("PORT")
  	if port == "" {
  		port = "8080"
  		log.Printf("Defaulting to port %s", port)
  	}
  
  	log.Printf("Listening on port %s", port)
  	if err := http.ListenAndServe(":"+port, nil); err != nil {
  		log.Fatal(err)
  	}
  }
  
  // newApp creates a new app, returning an error if either the Cloud IAP
  // certificates or the app's audience field cannot be obtained.
  func newApp() (*app, error) {
  	certs, err := certificates()
  	if err != nil {
  		return nil, err
  	}
  
  	aud, err := audience()
  	if err != nil {
  		return nil, err
  	}
  
  	a := &app{
  		certs: certs,
  		aud:   aud,
  	}
  	return a, nil
  }
  

• Fungsi index mendapatkan nilai header pernyataan JWT yang ditambahkan IAP dari permintaan yang masuk dan memanggil fungsi validateAssertion untuk memvalidasi nilai yang ditandatangani secara kriptografis. Alamat email kemudian digunakan dalam respons web minimal.

  
  // index responds to requests with our greeting.
  func (a *app) index(w http.ResponseWriter, r *http.Request) {
  	if r.URL.Path != "/" {
  		http.NotFound(w, r)
  		return
  	}
  
  	assertion := r.Header.Get("X-Goog-IAP-JWT-Assertion")
  	if assertion == "" {
  		fmt.Fprintln(w, "No Cloud IAP header found.")
  		return
  	}
  	email, _, err := validateAssertion(assertion, a.certs, a.aud)
  	if err != nil {
  		log.Println(err)
  		fmt.Fprintln(w, "Could not validate assertion. Check app logs.")
  		return
  	}
  
  	fmt.Fprintf(w, "Hello %s\n", email)
  }
  

• Fungsi validateAssertion memvalidasi bahwa pernyataan ditandatangani dengan benar dan menampilkan alamat email dan ID pengguna terkait.

  Untuk memvalidasi pernyataan JWT, Anda harus mengetahui sertifikat kunci publik entitas yang menandatangani pernyataan (Google dalam hal ini), dan audiens yang dituju pernyataan tersebut. Untuk aplikasi App Engine, audiens adalah string dengan informasi identifikasi project Google Cloud di dalamnya. Fungsi validateAssertion mendapatkan sertifikat tersebut dari fungsi certs dan string audiens dari fungsi audience.

  
  // validateAssertion validates assertion was signed by Google and returns the
  // associated email and userID.
  func validateAssertion(assertion string, certs map[string]string, aud string) (email string, userID string, err error) {
  	token, err := jwt.Parse(assertion, func(token *jwt.Token) (interface{}, error) {
  		keyID := token.Header["kid"].(string)
  
  		_, ok := token.Method.(*jwt.SigningMethodECDSA)
  		if !ok {
  			return nil, fmt.Errorf("unexpected signing method: %q", token.Header["alg"])
  		}
  
  		cert := certs[keyID]
  		return jwt.ParseECPublicKeyFromPEM([]byte(cert))
  	})
  
  	if err != nil {
  		return "", "", err
  	}
  
  	claims, ok := token.Claims.(jwt.MapClaims)
  	if !ok {
  		return "", "", fmt.Errorf("could not extract claims (%T): %+v", token.Claims, token.Claims)
  	}
  
  	if claims["aud"].(string) != aud {
  		return "", "", fmt.Errorf("mismatched audience. aud field %q does not match %q", claims["aud"], aud)
  	}
  	return claims["email"].(string), claims["sub"].(string), nil
  }
  

• Anda dapat mencari ID numerik dan nama project Google Cloud, lalu memasukkannya ke dalam kode sumber sendiri, tetapi fungsi audience melakukannya untuk Anda dengan mengkueri layanan metadata standar yang tersedia untuk setiap aplikasi App Engine. Karena layanan metadata bersifat eksternal terhadap kode aplikasi, hasilnya disimpan dalam variabel global yang ditampilkan tanpa harus mencari metadata dalam panggilan berikutnya.

  Layanan metadata App Engine (dan layanan metadata serupa untuk layanan komputasi Google Cloud lainnya) terlihat seperti situs web dan dibuat kueri oleh kueri web standar. Namun, layanan metadata sebenarnya bukan situs eksternal, tetapi fitur internal yang menampilkan informasi yang diminta tentang aplikasi yang sedang berjalan, sehingga aman untuk menggunakan http, bukan permintaan https. Layanan metadata digunakan untuk mendapatkan ID Google Cloud saat ini yang diperlukan untuk menentukan audiens yang dituju pernyataan JWT.

  
  // audience returns the expected audience value for this service.
  func audience() (string, error) {
  	projectNumber, err := metadata.NumericProjectID()
  	if err != nil {
  		return "", fmt.Errorf("metadata.NumericProjectID: %w", err)
  	}
  
  	projectID, err := metadata.ProjectID()
  	if err != nil {
  		return "", fmt.Errorf("metadata.ProjectID: %w", err)
  	}
  
  	return "/projects/" + projectNumber + "/apps/" + projectID, nil
  }
  

• Verifikasi tanda tangan digital memerlukan sertifikat kunci publik penanda tangan. Google menyediakan situs web yang menampilkan semua sertifikat kunci publik yang saat ini digunakan. Hasil ini di-cache jika diperlukan lagi di instance aplikasi yang sama.

  
  // certificates returns Cloud IAP's cryptographic public keys.
  func certificates() (map[string]string, error) {
  	const url = "https://www.gstatic.com/iap/verify/public_key"
  	client := http.Client{
  		Timeout: 5 * time.Second,
  	}
  	resp, err := client.Get(url)
  	if err != nil {
  		return nil, fmt.Errorf("Get: %w", err)
  	}
  
  	var certs map[string]string
  	dec := json.NewDecoder(resp.Body)
  	if err := dec.Decode(&certs); err != nil {
  		return nil, fmt.Errorf("Decode: %w", err)
  	}
  
  	return certs, nil
  }
  

Men-deploy aplikasi

Sekarang Anda dapat men-deploy aplikasi, lalu mengaktifkan IAP untuk mewajibkan pengguna melakukan autentikasi sebelum mereka dapat mengakses aplikasi.

1. Di jendela terminal, buka direktori yang berisi file app.yaml, dan deploy aplikasi ke App Engine:

   gcloud app deploy
   

2. Jika diminta, pilih wilayah terdekat.

3. Saat ditanya apakah Anda ingin melanjutkan operasi deployment, masukkan Y.

   Dalam beberapa menit, aplikasi Anda akan ditayangkan di internet.

4. Melihat aplikasi:

   gcloud app browse
   

   Pada output, salin web-site-url, alamat web untuk aplikasi.

5. Di jendela browser, tempel web-site-url untuk membuka aplikasi.

   Tidak ada email yang ditampilkan karena Anda belum menggunakan IAP sehingga tidak ada informasi pengguna yang dikirim ke aplikasi.

Mengaktifkan IAP

Setelah instance App Engine ada, Anda dapat melindunginya dengan IAP:

1. Di konsol Google Cloud, buka halaman Identity-Aware Proxy.

   Buka halaman Identity-Aware Proxy

2. Karena ini pertama kalinya Anda mengaktifkan opsi autentikasi untuk project ini, Anda akan melihat pesan bahwa Anda harus mengonfigurasi layar izin OAuth sebelum dapat menggunakan IAP.

   Klik Konfigurasi Layar Persetujuan.

3. Pada tab OAuth Consent Screen di halaman Credentials, isi kolom berikut:

   • Jika akun Anda berada di organisasi Google Workspace, pilih Eksternal dan klik Buat. Untuk memulai, aplikasi hanya akan tersedia untuk pengguna yang Anda izinkan secara eksplisit.

   • Di kolom Application name, masukkan IAP Example.

   • Di kolom Email dukungan, masukkan alamat email Anda.

   • Di kolom Authorized domain, masukkan bagian nama host dari URL aplikasi, misalnya, iap-example-999999.uc.r.appspot.com. Tekan tombol Enter setelah memasukkan nama host di kolom.

   • Di kolom Link halaman beranda aplikasi, masukkan URL untuk aplikasi Anda, misalnya, https://iap-example-999999.uc.r.appspot.com/.

   • Di kolom Baris kebijakan privasi aplikasi, gunakan URL yang sama dengan link halaman beranda untuk tujuan pengujian.

4. Klik Simpan. Saat diminta untuk membuat kredensial, Anda dapat menutup jendela.

5. Di konsol Google Cloud, buka halaman Identity-Aware Proxy.

   Buka halaman Identity-Aware Proxy

6. Untuk memuat ulang halaman, klik Refresh refresh. Halaman ini menampilkan daftar resource yang dapat Anda lindungi.

7. Di kolom IAP, klik untuk mengaktifkan IAP untuk aplikasi.

8. Di browser, buka web-site-url lagi.

9. Layar login untuk mengautentikasi diri Anda akan muncul, bukan halaman web. Saat login, Anda akan ditolak aksesnya karena IAP tidak memiliki daftar pengguna yang diizinkan untuk mengakses aplikasi.

Menambahkan pengguna yang diberi otorisasi ke aplikasi

1. Di konsol Google Cloud, buka halaman Identity-Aware Proxy.

   Buka halaman Identity-Aware Proxy

2. Centang kotak untuk aplikasi App Engine, lalu klik Tambahkan Prinsipal.

3. Masukkan allAuthenticatedUsers, lalu pilih peran Cloud IAP/IAP-Secured Web App User.

4. Klik Simpan.

Sekarang, setiap pengguna yang dapat diautentikasi oleh Google dapat mengakses aplikasi. Jika mau, Anda dapat membatasi akses lebih lanjut dengan hanya menambahkan satu atau beberapa orang atau grup sebagai akun utama:

• Alamat email Gmail atau Google Workspace apa pun

• Alamat email Google Grup

• Nama domain Google Workspace

Mengakses aplikasi

1. Di browser, buka web-site-url.

2. Untuk memuat ulang halaman, klik Refresh refresh.

3. Di layar login, login dengan kredensial Google Anda.

   Halaman akan menampilkan halaman "Halo user-email-address" dengan alamat email Anda.

   Jika Anda masih melihat halaman yang sama seperti sebelumnya, mungkin ada masalah dengan browser yang tidak sepenuhnya memperbarui permintaan baru setelah Anda mengaktifkan IAP. Tutup semua jendela browser, buka kembali, lalu coba lagi.

Konsep autentikasi

Ada beberapa cara agar aplikasi dapat mengautentikasi penggunanya dan membatasi akses hanya untuk pengguna yang diotorisasi. Metode autentikasi umum, dengan tingkat upaya yang menurun untuk aplikasi, tercantum di bagian berikut.

Autentikasi yang dikelola aplikasi

Dengan metode ini, aplikasi mengelola setiap aspek autentikasi pengguna sendiri. Aplikasi harus mengelola database kredensial penggunanya sendiri dan mengelola sesi pengguna, serta harus menyediakan fungsi untuk mengelola akun dan sandi pengguna, memeriksa kredensial pengguna, serta menerbitkan, memeriksa, dan memperbarui sesi pengguna dengan setiap login yang diautentikasi. Diagram berikut mengilustrasikan metode autentikasi yang dikelola aplikasi.

Seperti yang ditunjukkan dalam diagram, setelah pengguna login, aplikasi akan membuat dan mempertahankan informasi tentang sesi pengguna. Saat pengguna membuat permintaan ke aplikasi, permintaan harus menyertakan informasi sesi yang menjadi tanggung jawab aplikasi untuk memverifikasi.

Keuntungan utama pendekatan ini adalah bersifat mandiri dan berada di bawah kontrol aplikasi. Aplikasi bahkan tidak perlu tersedia di internet. Kerugian utamanya adalah aplikasi kini bertanggung jawab untuk menyediakan semua fungsi pengelolaan akun dan melindungi semua data kredensial sensitif.

Autentikasi eksternal dengan OAuth2

Alternatif yang baik untuk menangani semua hal dalam aplikasi adalah menggunakan layanan identitas eksternal, seperti Google, yang menangani semua informasi dan fungsi akun pengguna serta bertanggung jawab untuk mengamankan kredensial sensitif. Saat pengguna mencoba login ke aplikasi, permintaan akan dialihkan ke layanan identitas, yang mengautentikasi pengguna, lalu mengalihkan permintaan kembali ke aplikasi dengan informasi autentikasi yang diperlukan. Untuk informasi selengkapnya, lihat Menggunakan OAuth 2.0 untuk Aplikasi Server Web.

Diagram berikut mengilustrasikan autentikasi eksternal dengan metode OAuth2.

Alur dalam diagram dimulai saat pengguna mengirim permintaan untuk mengakses aplikasi. Alih-alih merespons secara langsung, aplikasi mengalihkan browser pengguna ke platform identitas Google, yang menampilkan halaman untuk login ke Google. Setelah berhasil login, browser pengguna akan diarahkan kembali ke aplikasi. Permintaan ini mencakup informasi yang dapat digunakan aplikasi untuk mencari informasi tentang pengguna yang kini diautentikasi, dan aplikasi kini merespons pengguna.

Metode ini memiliki banyak keunggulan untuk aplikasi. Metode ini mendelegasikan semua risiko dan fungsi pengelolaan akun ke layanan eksternal, yang dapat meningkatkan keamanan login dan akun tanpa harus mengubah aplikasi. Namun, seperti yang ditunjukkan pada diagram sebelumnya, aplikasi harus memiliki akses ke internet untuk menggunakan metode ini. Aplikasi juga bertanggung jawab untuk mengelola sesi setelah pengguna diautentikasi.

Identity-Aware Proxy

Pendekatan ketiga, yang dibahas dalam tutorial ini, adalah menggunakan IAP untuk menangani semua autentikasi dan pengelolaan sesi dengan perubahan apa pun pada aplikasi. IAP mencegat semua permintaan web ke aplikasi Anda, memblokir permintaan yang belum diautentikasi, dan meneruskan permintaan lainnya dengan data identitas pengguna yang ditambahkan ke setiap permintaan.

Penanganan permintaan ditampilkan dalam diagram berikut.

Permintaan dari pengguna dicegat oleh IAP, yang memblokir permintaan yang tidak diautentikasi. Permintaan yang diautentikasi diteruskan ke aplikasi, asalkan pengguna yang diautentikasi ada dalam daftar pengguna yang diizinkan. Permintaan yang diteruskan melalui IAP memiliki header yang ditambahkan ke permintaan tersebut yang mengidentifikasi pengguna yang membuat permintaan.

Aplikasi tidak perlu lagi menangani akun pengguna atau informasi sesi. Setiap operasi yang perlu mengetahui ID unik untuk pengguna dapat mendapatkannya langsung dari setiap permintaan web yang masuk. Namun, ini hanya dapat digunakan untuk layanan komputasi yang mendukung IAP, seperti App Engine dan load balancer. Anda tidak dapat menggunakan IAP di komputer pengembangan lokal.