Utilizzo di parametri di query e intestazioni

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Questa pagina descrive come utilizzare i parametri di query e le intestazioni (IAP) di Identity-Aware Proxy per migliorare l'interfaccia utente dell'applicazione o fornire opzioni per la risoluzione dei problemi.

Parametri di query

È possibile eseguire diverse azioni impostando il parametro gcp-iap-mode nella stringa di query dell'URL. Questi parametri di ricerca possono essere inclusi in qualsiasi percorso, non solo nell'URL principale.

Trasmettere l'identità dell'utente

Il trasferimento del seguente valore parametro restituisce un dizionario JSON con l'identità dell'utente:

YOUR_APP_URL?gcp-iap-mode=IDENTITY

Questa opzione è disponibile da qualsiasi Account Google a cui hai eseguito l'accesso, anche se l'account non dispone dell'accesso all'app. Puoi visitare l'URL direttamente o farvi riferimento per effettuare richieste all'URL. Di seguito è riportato un valore di esempio restituito dall'URL:

{"email":"accounts.google.com:USER_EMAIL","sub":"accounts.google.com:118133858486581853996"}

Potresti trovare utile questo valore per personalizzare l'app, ad esempio mostrando il nome dell'utente, per passare l'identità a un'altra pagina o per acquisire i dati sull'utilizzo nei log.

Cancellazione accesso utenti

Il seguente valore parametro cancella il cookie di accesso IAP:

YOUR_APP_URL?gcp-iap-mode=CLEAR_LOGIN_COOKIE

Per impostazione predefinita, il passaggio di questo parametro reindirizza il browser alla pagina 403 per aiutare gli utenti che potrebbero aver eseguito l'accesso alla posizione sbagliata. Puoi anche fornire l'URL a un utente che rimane bloccato o utilizzarlo per attivare il passaggio a un altro profilo nella tua applicazione.

Test della verifica JWT in corso...

IAP ti aiuta a testare la logica di verifica JWT passando JWT non validi alle pagine web di test.

Ad esempio, IAP trasmette un JWT con una firma non valida per qualsiasi richiesta contenente i parametri di ricerca gcp-iap-mode=SECURE_TOKEN_TEST e iap-secure-token-test-type=SIGNATURE. La logica di verifica deve rilevare la firma non valida.

Puoi testare la logica di verifica con uno dei seguenti scenari aggiungendo i parametri appropriati a una richiesta.

Parametri Scenario di test
?gcp-iap-mode=SECURE_TOKEN_TEST&iap-secure-token-test-type=NOT_SET Un JWT valido.
?gcp-iap-mode=SECURE_TOKEN_TEST&iap-secure-token-test-type=FUTURE_ISSUE La data di emissione è impostata nel futuro.
?gcp-iap-mode=SECURE_TOKEN_TEST&iap-secure-token-test-type=PAST_EXPIRATION La data di scadenza è impostata nel passato.
?gcp-iap-mode=SECURE_TOKEN_TEST&iap-secure-token-test-type=ISSUER Emittente errato.
?gcp-iap-mode=SECURE_TOKEN_TEST&iap-secure-token-test-type=AUDIENCE Segmento di pubblico non corretto.
?gcp-iap-mode=SECURE_TOKEN_TEST&iap-secure-token-test-type=SIGNATURE Firmato con un firmatore errato.

Intestazioni speciali

Rilevamento delle risposte dagli IAP

Quando IAP genera una risposta HTTP, ad esempio quando nega l'accesso (403) o richiede l'autenticazione (302 o 401), aggiunge l'intestazione della risposta HTTP X-Goog-IAP-Generated-Response. Rilevando la presenza di questa intestazione, puoi eseguire azioni quali:

  • Distingui i messaggi di errore generati da IAP e quelli generati dalla tua applicazione.

  • Rileva quando è necessario aggiungere le credenziali IAP a una richiesta.