Artikel ini menjelaskan cara mengelola sesi dengan Identity-Aware Proxy (IAP) jika Anda menggunakan identitas eksternal untuk autentikasi.
Memuat ulang sesi
Sesi Identity Platform berlaku selama satu jam. Saat sesi berakhir, aplikasi Anda harus mengalihkan ke halaman autentikasi. Halaman autentikasi berisi token refresh Identity Platform. Selama kredensial pengguna masih valid, Anda dapat menggunakannya untuk autentikasi ulang tanpa menampilkan UI apa pun.
Jika pengguna baru-baru ini mengubah email atau sandi, atau beberapa tindakan lain yang mencabut tokennya, mereka harus menyelesaikan alur autentikasi lagi.
Menangani permintaan non-AJAX
Permintaan non-AJAX ditangani secara otomatis menggunakan pengalihan aplikasi, dengan asumsi halaman autentikasi dikonfigurasi dengan benar.
Menangani permintaan AJAX
Chrome dan browser lain menghentikan penggunaan cookie pihak ketiga secara bertahap. Rekomendasi untuk membuat permintaan AJAX di halaman ini tidak akan berfungsi jika cookie pihak ketiga dinonaktifkan. Namun, rekomendasi yang diberikan akan tetap berfungsi jika sumber dan target permintaan AJAX berasal dari situs yang sama.
Untuk petunjuk tentang cara mengelola cookie pihak ketiga di Chrome, lihat Menghapus, mengizinkan, dan mengelola cookie di Chrome.
Jika Anda mengirim permintaan AJAX dengan token yang sudah tidak berlaku lagi, permintaan akan menampilkan
kode status 401: Unauthorized
. Terapkan salah satu solusi berikut untuk
menanganinya:
- Ubah kode aplikasi Anda untuk menangani kode status HTTP
401
. - Tambahkan
iframe
ke aplikasi Anda untuk mengarah ke pembaruan sesi. - Minta pengguna untuk memuat pengingat sesi secara manual di tab terpisah.
Jika Anda menerima kode status 302
, bukan 401
, sebagai respons terhadap permintaan AJAX, tambahkan header X-Requested-With
dengan nilai XMLHttpRequest
.
Tindakan ini akan memberi tahu IAP bahwa permintaan berasal dari JavaScript.
Menangani HTTP 401 secara terprogram
Menangani kode status 401
HTTP secara terprogram adalah cara yang direkomendasikan untuk
memuat ulang sesi AJAX. Untuk melakukannya:
Perbarui kode aplikasi Anda untuk menangani error.
Tambahkan pengendali yang membuka jendela untuk mengautentikasi ulang pengguna, lalu tutup jendela tersebut saat proses selesai.
Menggunakan iframe
Jika Anda tidak dapat menangani 401
HTTP secara terprogram, solusi terbaik berikutnya
adalah menambahkan iframe
ke aplikasi Anda yang mengarah ke pembaruan sesi.
Untuk menggunakan iframe, Anda harus mengonfigurasi halaman login kustom di domain yang sama dengan aplikasi web yang diamankan IAP. Jika tidak, pengguna akan mengalami error lintas origin. Untuk mengetahui informasi selengkapnya tentang konfigurasi halaman login, lihat membuat halaman login kustom.
Contoh penggunaan iframe:
<iframe src="https://example.com/some/path?gcp-iap-mode=SESSION_REFRESHER" style="width:0;height:0;border:0; border:none;"></iframe>
Memuat pengingat sesi
Sebagai upaya terakhir, Anda dapat meminta pengguna untuk memuat pembaruan sesi secara manual. Tambahkan panduan ke aplikasi atau dokumentasi yang mengarahkan pengguna untuk membuka URL berikut di tab terpisah:
https://example.com/some/path?gcp-iap-mode=SESSION_REFRESHER
Membuat pengguna logout
Untuk logout pengguna dari resource IAP, gunakan parameter kueri
?gcp-iap-mode=GCIP_SIGNOUT
. Misalnya, di aplikasi App Engine, URL-nya akan terlihat seperti ini:
https://example.com/some/path?gcp-iap-mode=GCIP_SIGNOUT
Pengguna akan dialihkan kembali ke halaman login setelah logout.
Untuk logout pengguna dari semua resource dan sesi, alihkan mereka ke URL autentikasi dengan kunci API dan mode=signout
ditambahkan sebagai parameter. Contoh:
https://auth.example.com/?apiKey=API-KEY&mode=signout
Pengguna akan tetap berada di halaman setelah logout selesai. Pertimbangkan untuk menerapkan callback completeSignOut()
pada objek AuthenticationHandler
untuk memberikan masukan kepada pengguna bahwa mereka telah berhasil logout.
Beralih antar-tenant
Dalam beberapa kasus, pengguna mungkin ingin mengautentikasi dengan beberapa tenant untuk resource IAP yang sama. Misalnya, mereka mungkin memiliki beberapa tenant yang memberikan tingkat akses yang berbeda, dan ingin beralih ke tenant dengan hak istimewa yang lebih sedikit atau lebih besar.
Untuk memaksa proses pemilihan tenant dimulai ulang, gunakan
?gcp-iap-mode=CLEAR_LOGIN_COOKIE
. Misalnya, di aplikasi App Engine,
URL mungkin terlihat seperti ini:
https://PROJECT-ID.appspot.com/some/path?gcp-iap-mode=CLEAR_LOGIN_COOKIE