In dieser Anleitung wird beschrieben, wie Sie Anmeldedaten von Drittanbietern mithilfe von Identity Platform, der App Engine-Standardumgebung und Datastore abrufen, prüfen und speichern.
Dazu werden Sie Schritt für Schritt durch eine einfache Anwendung für Notizen namens Firenotes geführt, die die Notizen von Nutzern in deren eigenen privaten Notizbüchern speichert. Die Notizbücher werden pro Nutzer gespeichert und durch die eindeutige Identity Platform-ID des jeweiligen Nutzers identifiziert. Die Anwendung beinhaltet diese Komponenten:
Das Frontend konfiguriert die Benutzeroberfläche für die Anmeldung und ruft die Identity Platform-ID ab. Außerdem verarbeitet es Änderungen am Authentifizierungsstatus und ermöglicht Nutzern, ihre Notizen anzusehen.
FirebaseUI ist eine Open-Source-Drop-in-Lösung, die Authentifizierungs- und UI-Aufgaben vereinfacht. Das SDK verarbeitet unter anderem die Nutzeranmeldung, das Verknüpfen von mehreren Anbietern mit einem einzigen Konto und das Wiederherstellen von Passwörtern. Die Lösung implementiert Best Practices für die Authentifizierung, um für eine reibungslose und sichere Anmeldung zu sorgen.
Das Backend überprüft den Authentifizierungsstatus des Nutzers und gibt Nutzerprofilinformationen sowie die Notizen des Nutzers zurück.
Die Anwendung speichert die Nutzeranmeldedaten mithilfe der NDB-Clientbibliothek in Datastore. Sie können die Anmeldedaten aber auch in einer Datenbank Ihrer Wahl speichern.
Firenotes basieren auf Flasche Webanwendungs-Framework. Die Beispielanwendung verwendet Flask der Einfachheit und Benutzerfreundlichkeit wegen, die untersuchten Konzepte und Technologien gelten aber unabhängig von dem verwendeten Framework.
Ziele
In dieser Anleitung lernen Sie Folgendes:
- Benutzeroberfläche mit FirebaseUI für Identity Platform konfigurieren.
- Identity Platform-ID-Token abrufen und mit der serverseitigen Authentifizierung prüfen
- Anmeldedaten und verknüpfte Daten in Cloud Datastore speichern
- Datenbank mit der NDB-Clientbibliothek abfragen
- Anwendung in App Engine bereitstellen
Kosten
In dieser Anleitung werden kostenpflichtige Komponenten von Google Cloud verwendet, darunter:
- Datastore
- Identity Platform
Mit dem Preisrechner können Sie eine Kostenschätzung für die voraussichtliche Nutzung erstellen.
Hinweis
- Installieren Sie Git, Python 2.7 und virtualenv. Weitere Informationen zum Einrichten Ihrer Python-Entwicklungsumgebung für Google Cloud, beispielsweise zum Installieren der neuesten Version von Python, finden Sie unter Python-Entwicklungsumgebung einrichten.
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
Wenn Sie das SDK bereits in einem anderen Projekt installiert und initialisiert haben, legen Sie das gcloud
-Projekt auf die App Engine-Projekt-ID fest, die Sie für Firenotes verwenden. Weitere Informationen zu bestimmten Befehlen zum Aktualisieren eines Projekts mit dem gcloud
-Tool finden Sie unter Google Cloud SDK-Konfigurationen verwalten.
Beispiel-App klonen
So laden Sie das Beispiel auf Ihren lokalen Computer herunter:
Klonen Sie das Beispielanwendungs-Repository auf Ihren lokalen Rechner:
git clone https://github.com/GoogleCloudPlatform/python-docs-samples.git
Sie können auch das Beispiel als ZIP-Datei herunterladen und extrahieren.
Wechseln Sie in das Verzeichnis, das den Beispielcode enthält:
cd python-docs-samples/appengine/standard/firebase/firenotes
Benutzeroberfläche hinzufügen
So konfigurieren Sie FirebaseUI für Identity Platform und aktivieren Identitätsanbieter:
Führen Sie folgende Schritte aus, um Identity Platform Ihrer Anwendung hinzuzufügen:
- Öffnen Sie die Google Cloud Console.
Zur Google Cloud Console - Wählen Sie das Google Cloud-Projekt aus, das Sie verwenden möchten:
- Wenn Sie bereits ein Projekt haben, wählen Sie es aus der Drop-down-Liste Organisation auswählen oben auf der Seite aus.
- Wenn Sie noch kein Google Cloud-Projekt haben, Erstellen Sie ein neues Projekt im Google Cloud Console
- Rufen Sie den Identity Platform Marketplace auf.
in der Google Cloud Console.
Zur Seite "Identity Platform Marketplace" - Klicken Sie auf der Seite "Identity Platform" auf Customer Identity aktivieren.
- Rufen Sie die Customer Identity-Seite Nutzer auf.
in der Google Cloud Console.
Zur Seite "Nutzer" - Klicken Sie rechts oben auf Einrichtungsdetails für die Anwendung.
Kopieren Sie die Details zur Einrichtung der Anwendung in Ihre Webanwendung.
- Öffnen Sie die Google Cloud Console.
Bearbeite die Datei
backend/app.yaml
und gib Folgendes ein: Google Cloud-Projekt-ID in der Umgebungsvariablen:Konfigurieren Sie in der Datei
frontend/main.js
das FirebaseUI-Anmelde-Widget. Wählen Sie dazu die Anbieter aus, die Sie Ihren Nutzern zur Verfügung stellen möchten.Aktivieren Sie in der Google Cloud Console die Anbieter, die Sie beibehalten möchten:
- Rufen Sie in der Google Cloud Console die Customer Identity-Seite Anbieter auf.
Zur Seite "Anbieter" - Klicken Sie auf Anbieter hinzufügen.
- Wählen Sie in der Drop-down-Liste Anbieter auswählen die Anbieter aus, die Sie verwenden möchten.
- Klicken Sie neben Aktiviert auf die Schaltfläche, um den Anbieter zu aktivieren.
- Wenn Sie einen externen Identitätsanbieter verwenden, geben Sie die Anbieter-ID und das Secret von der Entwicklerwebsite des Anbieters ein. Die Firebase-Dokumentation enthält spezifische Anleitungen in den Abschnitten „Vorbereitung“ der Leitfäden für Facebook, Twitter und GitHub.
- Informationen zur Einbindung von SAML und OIDC finden Sie in der Konfiguration Ihres IdP.
- Rufen Sie in der Google Cloud Console die Customer Identity-Seite Anbieter auf.
Nehmen Sie Ihre Domain in die Liste der autorisierten Domains in Identity Platform auf:
- Rufen Sie in der Google Cloud Console die Customer Identity-Seite Einstellungen auf.
Zur Seite "Einstellungen" - Klicken Sie unter Autorisierte Domains auf Domain hinzufügen.
Geben Sie die Domain Ihrer Anwendung im folgenden Format ein:
[PROJECT_ID].appspot.com
Fügen Sie nicht
http://
vor dem Domainnamen ein.
- Rufen Sie in der Google Cloud Console die Customer Identity-Seite Einstellungen auf.
Abhängigkeiten installieren
Wechseln Sie in das Verzeichnis
backend
und schließen Sie die Anwendungseinrichtung ab:cd backend/
Installieren Sie die Abhängigkeiten in einem
lib
-Verzeichnis im Projekt:pip install -t lib -r requirements.txt
In
appengine_config.py
registriert die Methodevendor.add()
die Bibliotheken im Verzeichnislib
.
Anwendung lokal ausführen
Wenn Sie die Anwendung lokal ausführen möchten, verwenden Sie den lokalen App Engine-Entwicklungsserver:
Fügen Sie der Datei die folgende URL als
backendHostURL
inmain.js
hinzu:http://localhost:8081
Rufen Sie das Stammverzeichnis der Anwendung auf und starten Sie dann den Entwicklungsserver:
dev_appserver.py frontend/app.yaml backend/app.yaml
Rufen Sie in einem Webbrowser http://localhost:8080/ auf.
Nutzer auf dem Server authentifizieren
Nachdem Sie ein Projekt eingerichtet und eine Anwendung für die Entwicklung initialisiert haben, können Sie den Code durchgehen, um zu erfahren, wie Identity Platform-ID-Tokens auf dem Server abgerufen und geprüft werden.
ID-Token von Identity Platform abrufen
Der erste Schritt der serverseitigen Authentifizierung besteht im Abrufen eines Zugriffstokens für die Überprüfung. Authentifizierungsanfragen werden mit dem Listener onAuthStateChanged()
von Identity Platform verarbeitet:
Wenn ein Nutzer angemeldet ist, gibt die getToken()
-Methode von Identity Platform im Callback ein Identity Platform-ID-Token in Form eines JSON Web Tokens (JWT) zurück.
Tokens auf dem Server überprüfen
Nachdem sich ein Nutzer angemeldet hat, ruft der Frontend-Dienst alle vorhandenen Notizen im Notizbuch des Nutzers durch eine AJAX-GET
-Anfrage ab. Dafür ist eine Autorisierung für den Zugriff auf die Daten des Nutzers erforderlich, sodass das JWT im Authorization
-Header der Anfrage mithilfe des Schemas Bearer
gesendet wird:
Bevor der Client auf Serverdaten zugreifen kann, muss von Ihrem Server geprüft werden, ob das Token von Identity Platform signiert ist. Sie können das Token mit der Google-Authentifizierungsbibliothek für Python überprüfen.
Verwenden Sie die Funktion verify_firebase_token
der Authentifizierungsbibliothek, um das Inhabertoken zu überprüfen und die Anforderungen zu extrahieren:
Jeder Identitätsanbieter sendet einen anderen Satz von Anforderungen. Jeder hat aber zumindest eine sub
-Anforderung mit einer eindeutigen Nutzer-ID und eine Anforderung, über die einige Profilinformationen bereitgestellt werden, beispielsweise name
oder email
. Damit können Sie Ihre Anwendung für die einzelnen Nutzer personalisieren.
Nutzerdaten in Datastore verwalten
Nach der Authentifizierung eines Nutzers müssen Sie seine Daten speichern, damit sie nach dem Ende einer angemeldeten Sitzung erhalten bleiben. In den folgenden Abschnitten wird erläutert, wie Sie eine Notiz als Datastore-Entität speichern und Entitäten nach Nutzer-ID trennen.
Entitäten zum Speichern von Nutzerdaten erstellen
Sie können in Datastore eine Entität erstellen. Dazu deklarieren Sie eine NDB-Modellklasse mit bestimmten Attributen wie Ganzzahlen oder Strings. Datastore indexiert Entitäten nach der Art. In Firenotes ist die Art jeder Entität Note
.
Zum Zweck der Abfrage wird jede Note
mit einem Schlüsselnamen gespeichert. Dies ist die Nutzer-ID, die im vorherigen Abschnitt aus der sub
-Anforderung abgerufen wurde.
Der folgende Code zeigt, wie Attribute einer Entität festgelegt werden – sowohl mit der Konstruktormethode für die Modellklasse, wenn die Entität erstellt wird, als auch durch die Zuweisung einzelner Attribute nach der Erstellung:
Damit Sie die neu erstellte Note
in Datastore schreiben können, rufen Sie die Methode put()
für das Objekt note
auf.
Nutzerdaten abrufen
Wenn Sie Nutzerdaten abrufen möchten, die mit einer bestimmten Nutzer-ID verknüpft sind, verwenden Sie die NDB-Methode query()
, um in der Datenbank nach Notizen in derselben Entitätengruppe zu suchen.
Entitäten in derselben Gruppe oder im selben Ancestor-Pfad verwenden einen gemeinsamen Schlüsselnamen. In diesem Fall ist dies die Nutzer-ID.
Anschließend können Sie die Abfragedaten abrufen und die Notizen im Client ansehen:
Anwendung bereitstellen
Sie haben Identity Platform erfolgreich in Ihre App Engine-Anwendung eingebunden. So sehen Sie, wie Ihre Anwendung in einer Live-Produktionsumgebung ausgeführt wird:
- Ändern Sie die Backend-Host-URL in
main.js
zuhttps://backend-dot-[PROJECT_ID].appspot.com
. Ersetzen Sie[PROJECT_ID]
durch Ihre Projekt-ID. Stellen Sie die Anwendung mit der Google Cloud SDK-Befehlszeile bereit:
gcloud app deploy backend/index.yaml frontend/app.yaml backend/app.yaml
Sehen Sie sich die Anwendung live unter
https://[PROJECT_ID].appspot.com
an.
Bereinigen
Löschen Sie Ihr App Engine-Projekt, damit Ihrem Google Cloud-Konto die in dieser Anleitung verwendeten Ressourcen nicht in Rechnung gestellt werden.
Projekt löschen
Am einfachsten vermeiden Sie weitere Kosten, wenn Sie das zum Ausführen der Anleitung erstellte Projekt löschen.
So löschen Sie das Projekt:
- In the Google Cloud console, go to the Manage resources page.
- In the project list, select the project that you want to delete, and then click Delete.
- In the dialog, type the project ID, and then click Shut down to delete the project.
Nächste Schritte
- Referenzarchitekturen, Diagramme und Best Practices zu Google Cloud kennenlernen. Weitere Informationen zu Cloud Architecture Center