Menggunakan parameter kueri dan header

Halaman ini menjelaskan cara menggunakan parameter dan header kueri Identity-Aware Proxy (IAP) untuk meningkatkan kualitas UI aplikasi atau memberikan opsi pemecahan masalah.

Parameter Kueri

Tindakan lain dapat dilakukan dengan menetapkan parameter gcp-iap-mode di string kueri URL. Parameter kueri ini dapat disertakan dengan jalur apa pun, bukan hanya URL root.

Meneruskan identitas pengguna

Meneruskan parameter value berikut akan menampilkan kamus JSON dengan identitas pengguna:

YOUR_APP_URL?gcp-iap-mode=IDENTITY

Fitur ini tersedia dari Akun Google yang digunakan untuk login, meskipun akun tersebut tidak memiliki akses ke aplikasi. Anda dapat langsung membuka URL atau mereferensikannya untuk membuat permintaan ke URL. Berikut adalah contoh nilai yang ditampilkan oleh URL:

{"email":"accounts.google.com:USER_EMAIL","sub":"accounts.google.com:118133858486581853996"}

Nilai ini mungkin berguna bagi Anda untuk mempersonalisasi aplikasi, misalnya dengan menampilkan nama pengguna, meneruskan identitas ke halaman lain, atau mencatat data penggunaan dalam log.

Menghapus login pengguna

Nilai parameter berikut menghapus cookie login IAP:

YOUR_APP_URL?gcp-iap-mode=CLEAR_LOGIN_COOKIE

Meneruskan parameter ini akan menghapus semua cookie yang dikeluarkan IAP untuk aplikasi Anda dan membuka browser ke YOUR_APP_URL. Jika browser memiliki sesi yang valid dengan penyedia identitas (IdP) aplikasi, login otomatis mungkin terjadi jika hanya ada satu akun yang digunakan dengan IdP. Jika ada beberapa akun yang digunakan, halaman pemilihan akun akan terbuka untuk memungkinkan peralihan profil.

Menguji verifikasi JWT

IAP membantu Anda menguji logika verifikasi JWT dengan meneruskan JWT yang tidak valid ke halaman pengujian.

Misalnya, IAP meneruskan JWT dengan tanda tangan yang tidak valid untuk permintaan apa pun yang berisi parameter kueri gcp-iap-mode=SECURE_TOKEN_TEST dan iap-secure-token-test-type=SIGNATURE. Logika verifikasi Anda harus menangkap tanda tangan yang tidak valid.

Anda dapat menguji logika verifikasi terhadap salah satu skenario berikut dengan menambahkan parameter yang sesuai ke permintaan.

Parameter Kasus pengujian
?gcp-iap-mode=SECURE_TOKEN_TEST&iap-secure-token-test-type=NOT_SET JWT yang valid.
?gcp-iap-mode=SECURE_TOKEN_TEST&iap-secure-token-test-type=FUTURE_ISSUE Tanggal penerbitan ditetapkan di masa mendatang.
?gcp-iap-mode=SECURE_TOKEN_TEST&iap-secure-token-test-type=PAST_EXPIRATION Tanggal habis masa berlaku ditetapkan di masa lalu.
?gcp-iap-mode=SECURE_TOKEN_TEST&iap-secure-token-test-type=ISSUER Penerbit salah.
?gcp-iap-mode=SECURE_TOKEN_TEST&iap-secure-token-test-type=AUDIENCE Audiens salah.
?gcp-iap-mode=SECURE_TOKEN_TEST&iap-secure-token-test-type=SIGNATURE Ditandatangani menggunakan penanda tangan yang salah.

Header khusus

Mendeteksi respons dari IAP

Saat IAP menghasilkan respons HTTP, seperti saat menolak akses (403) atau meminta autentikasi (302 atau 401), IAP akan menambahkan header respons HTTP X-Goog-IAP-Generated-Response. Dengan mendeteksi keberadaan header ini, Anda dapat melakukan tindakan seperti:

  • Membedakan antara pesan error yang dihasilkan oleh IAP dan pesan error yang dihasilkan oleh aplikasi Anda.

  • Mendeteksi kapan kredensial IAP perlu ditambahkan ke permintaan.