Questa pagina descrive in che modo Identity-Aware Proxy (IAP) gestisce una richiesta con una sessione scaduta e come fare in modo che le richieste di app AJAX e WebSocket vadano a buon fine.
Flusso della sessione IAP
Quando utilizza il flusso di accesso IAP standard, l'utente riceve un cookie di sessione che fa riferimento alla sessione di accesso a Google. IAP usa questo cookie per confermare che l'utente sia ancora connesso. IAP richiede all'utente di eseguire l'accesso prima di accedere a un'app protetta da IAP.
Le sessioni IAP vengono aggiornate periodicamente. Tuttavia, se l'utente utilizza un Account Google per accedere, le sessioni IAP sono collegate anche alla sessione di accesso a Google dell'utente. In questo caso, IAP richiederà all'utente di accedere nuovamente solo in una delle seguenti situazioni:
- L'utente è uscito dal proprio account.
- Il suo account è stato sospeso
- L'account richiede la reimpostazione della password
Se un utente non ha eseguito l'accesso, IAP rileva un cambiamento di stato dell'Account Google entro un paio di minuti. Una volta rilevato, IAP annulla la sessione.
IAP ricontrolla l'autorizzazione Identity and Access Management (IAM) per tutte le richieste durante le sessioni valide. L'applicazione degli aggiornamenti ai criteri di accesso IAM di un'app con protezione IAP potrebbe richiedere alcuni minuti.
Scadenza della sessione IAP
Per un flusso di accesso tramite un Account Google, la sessione IAP
è collegata alla sessione di accesso a Google sottostante e scade solo
alla scadenza della sessione, indipendentemente dalla richiesta exp nel JWT inviato
nell'intestazione di autorizzazione.
Per l'autenticazione programmatica,
IAP rispetta la richiesta exp nel JWT inviato nell'intestazione Autorizzazione.
Per il flusso di accesso di Identity Platform, la sessione IAP rimane valida per un massimo di un'ora dopo la disconnessione dell'utente.
Richieste WebSocket
IAP supporta WebSocket solo per le richieste iniziali e non
verifica continuamente l'autorizzazione. Quando viene ricevuta una richiesta WebSocket, inizia con una richiesta HTTP Upgrade.
IAP la valuta come una
richiesta HTTP GET standard. Dopo che la richiesta è stata autorizzata, IAP la passa
al server, aprendo una connessione permanente. Dopodiché, IAP non monitora le richieste né aggiorna la sessione.
Risposte di sessione scadute
IAP restituisce risposte diverse per le sessioni scadute in base al tipo di richiesta.
Richieste non AJAX
Per le richieste non AJAX, l'utente viene reindirizzato al flusso di accesso per aggiornare la sessione. Se l'utente è ancora connesso, il reindirizzamento è trasparente.
Richieste AJAX
I cookie di terze parti stanno eliminando gradualmente da Chrome e da altri browser. I consigli per effettuare richieste AJAX in questa pagina non funzioneranno se i cookie di terze parti sono disattivati. Tuttavia, i consigli forniti rimarranno operativi se sia l'origine che la destinazione delle richieste AJAX provengono dallo stesso sito.
Per istruzioni sulla gestione dei cookie di terze parti in Chrome, vedi Eliminare, consentire e gestire i cookie in Chrome.
IAP si basa sui cookie per gestire le sessioni utente. Si basa inoltre su una sequenza di reindirizzamenti per stabilire una sessione come parte di un flusso di accesso. Non è sempre possibile stabilire una sessione se l'applicazione utilizza la condivisione delle risorse tra origini (CORS) per effettuare richieste AJAX a un'applicazione protetta da IAP.
Per effettuare correttamente una richiesta CORS a un'applicazione protetta da IAP, è necessario stabilire una sessione IAP fuori banda. Tieni presente che per una richiesta AJAX che invia una richiesta CORS da source_domain->target_domain dove target_domain ospita l'applicazione protetta da IAP, deve essere stabilita una sessione sul target_domain. Non è possibile condividere i cookie
tra source_domain e target_domain.
Una volta stabilita la sessione su target_domain, lo sviluppatore deve
abilitare l'invio delle credenziali nella richiesta. Per impostazione predefinita, i metodi JavaScript
non associano cookie alle richieste. Per abilitare le credenziali nella richiesta,
per le richieste inviate con un oggetto
XMLHttpRequest
è necessario che la proprietà withCredentials sia impostata su true, mentre per le richieste inviate
con
Fetch API
è necessario che l'opzione credentials sia impostata su include o same-origin.
La guida seguente consiglia un pattern per consentire agli sviluppatori web di stabilire e aggiornare correttamente una sessione IAP.
Comprensione della risposta IAP
Per le richieste AJAX, IAP restituisce un codice di stato HTTP 401: Unauthorized. Tieni presente che il rilevamento delle richieste AJAX non può essere eseguito perfettamente. Se
ricevi una risposta del codice di stato 302 anziché un codice di stato 401 per
le richieste AJAX, è possibile aggiungere un'intestazione X-Requested-With con valore "XMLHttpRequest"
alle richieste AJAX. Questo indica a IAP che la
richiesta proviene da JavaScript.
Gestione di una risposta AJAX HTTP 401
Per stabilire una sessione IAP dopo che l'applicazione ha ricevuto HTTP 401, l'applicazione può aprire una nuova finestra per l'URL target_domain + ?gcp-iap-mode=DO_SESSION_REFRESH. Si tratta di un gestore
speciale che stabilisce la sessione IAP soltanto all'indirizzo
target_domain. Se la finestra viene
mantenuta aperta, continuerà ad aggiornare la sessione periodicamente, chiedendo
l'input dell'utente come richiesto.
Facoltativamente, l'utente può scegliere di chiudere la finestra e il gestore per lo stato HTTP 401 nel codice dello sviluppatore dovrebbe aprire di nuovo una finestra per l'aggiornamento della sessione, se necessario.
Passaggio 1: modifica il codice dell'app
L'esempio seguente mostra come modificare il codice dell'app per gestire il codice di stato HTTP 401 e fornire all'utente un link di aggiornamento della sessione:
Passaggio 2: installa un gestore src
Il codice campione riportato di seguito installa un gestore src che chiude la finestra dopo l'aggiornamento della sessione: