Menggunakan parameter kueri dan header

Halaman ini menjelaskan cara menggunakan parameter dan header kueri Identity-Aware Proxy (IAP) untuk meningkatkan UI aplikasi Anda atau memberikan opsi pemecahan masalah.

Parameter Kueri

Berbagai tindakan dapat dilakukan dengan menetapkan parameter gcp-iap-mode di string kueri URL. Parameter kueri ini dapat disertakan dengan jalur apa pun, bukan hanya URL root.

Meneruskan identitas pengguna

Meneruskan nilai parameter berikut akan menampilkan kamus JSON dengan identitas pengguna:

YOUR_APP_URL?gcp-iap-mode=IDENTITY

URL ini tersedia dari Akun Google yang login, meskipun akun tersebut tidak memiliki akses ke aplikasi. Anda dapat membuka URL secara langsung atau mereferensikannya untuk membuat permintaan ke URL. Berikut adalah contoh nilai yang ditampilkan oleh URL:

{"email":"accounts.google.com:USER_EMAIL","sub":"accounts.google.com:118133858486581853996"}

Anda mungkin merasa nilai ini berguna untuk mempersonalisasi aplikasi, seperti dengan menampilkan nama pengguna, untuk meneruskan identitas ke halaman lain, atau mengambil data penggunaan dalam log.

Menghapus login pengguna

Nilai parameter berikut akan menghapus cookie login IAP:

YOUR_APP_URL?gcp-iap-mode=CLEAR_LOGIN_COOKIE

Meneruskan parameter ini akan menghapus semua cookie yang dikeluarkan IAP untuk aplikasi Anda dan mengarahkan browser ke YOUR_APP_URL. Jika browser Anda memiliki sesi yang valid dengan penyedia identitas (IdP) aplikasi, login senyap mungkin terjadi saat hanya ada satu akun yang digunakan dengan IdP. Jika ada beberapa akun yang digunakan, halaman pemilihan akun akan terbuka untuk memungkinkan pengalihan profil.

Menguji verifikasi JWT

IAP membantu Anda menguji logika verifikasi JWT dengan meneruskan JWT yang tidak valid ke halaman web pengujian.

Misalnya, IAP meneruskan JWT dengan tanda tangan yang tidak valid untuk permintaan apa pun yang berisi parameter kueri gcp-iap-mode=SECURE_TOKEN_TEST dan iap-secure-token-test-type=SIGNATURE. Logika verifikasi Anda harus menangkap tanda tangan yang tidak valid.

Anda dapat menguji logika verifikasi terhadap salah satu skenario berikut dengan menambahkan parameter yang sesuai ke permintaan.

Parameter Kasus pengujian
?gcp-iap-mode=SECURE_TOKEN_TEST&iap-secure-token-test-type=NOT_SET JWT yang valid.
?gcp-iap-mode=SECURE_TOKEN_TEST&iap-secure-token-test-type=FUTURE_ISSUE Tanggal masalah ditetapkan di masa mendatang.
?gcp-iap-mode=SECURE_TOKEN_TEST&iap-secure-token-test-type=PAST_EXPIRATION Tanggal habis masa berlaku ditetapkan di masa lalu.
?gcp-iap-mode=SECURE_TOKEN_TEST&iap-secure-token-test-type=ISSUER Penerbit salah.
?gcp-iap-mode=SECURE_TOKEN_TEST&iap-secure-token-test-type=AUDIENCE Audiens salah.
?gcp-iap-mode=SECURE_TOKEN_TEST&iap-secure-token-test-type=SIGNATURE Ditandatangani menggunakan penanda tangan yang salah.

Header khusus

Mendeteksi respons dari IAP

Saat IAP menghasilkan respons HTTP, seperti saat menolak akses (403) atau meminta autentikasi (302 atau 401), IAP akan menambahkan header respons HTTP X-Goog-IAP-Generated-Response. Dengan mendeteksi keberadaan header ini, Anda dapat melakukan tindakan seperti:

  • Bedakan antara pesan error yang dihasilkan oleh IAP dan pesan error yang dihasilkan oleh aplikasi Anda.

  • Mendeteksi kapan kredensial IAP perlu ditambahkan ke permintaan.