Looker utilizza OAuth per consentire alle applicazioni client OAuth di autenticarsi nell'API Looker senza esporre ID client e client secret al browser che esegue l'applicazione client OAuth.
Le applicazioni web che utilizzano OAuth devono soddisfare i seguenti requisiti:
- L'autenticazione tramite OAuth è disponibile solo con l'API Looker 4.0.
- Le applicazioni client OAuth devono prima essere registrate in Looker utilizzando l'API prima che gli utenti dell'applicazione possano autenticarsi in Looker.
- Le applicazioni client devono utilizzare HTTPS per tutte le richieste all'API Looker. Le applicazioni client che vogliono utilizzare le API
SubtleCryptofornite dal browser devono essere ospitate su HTTPS.
Supporto CORS dell'API Looker
L'API Looker supporta le chiamate nel browser e tra origini utilizzando il protocollo Cross-Origin Resource Sharing (CORS). Il supporto CORS di Looker ha i seguenti requisiti:
- Solo le origini elencate nella lista consentita del dominio incorporato possono chiamare l'API utilizzando CORS.
Solo i token di accesso ottenuti da OAuth o dalla chiamata all'endpoint dell'API
/loginpossono essere utilizzati per effettuare chiamate all'API Looker utilizzando CORS.L'endpoint API
/loginnon può essere chiamato utilizzando richieste CORS. Le applicazioni client che vogliono chiamare l'API Looker utilizzando richieste CORS devono utilizzare la procedura di accesso OAuth descritta in Eseguire l'accesso utente utilizzando OAuth oppure recuperare un token dal server dell'applicazione o dalle chiamate API non CORS.
Panoramica dell'autenticazione OAuth
Di seguito è riportata una panoramica della procedura di autenticazione OAuth:
- Registra l'applicazione client OAuth con l'API Looker.
- Aggiungi l'origine dell'applicazione client OAuth alla lista consentita dei domini incorporati per la chiamata all'API di scambio di codici e per le eventuali chiamate successive all'API CORS.
- Reindirizza l'URL del browser all'endpoint
/authsul nome host dell'interfaccia utente di Looker (non sul nome host dell'API Looker) quando l'applicazione client OAuth tenta di autenticare un utente. Ad esempio,https://instance_name.looker.com. - Se l'utente è stato autenticato correttamente e ha eseguito l'accesso a Looker, quest'ultimo restituisce immediatamente un reindirizzamento OAuth all'applicazione client OAuth. Se l'utente non ha ancora eseguito l'accesso a Looker sul dispositivo e nel browser, viene visualizzata la schermata di accesso di Looker e l'utente viene invitato ad accedere al proprio account utente di Looker utilizzando il normale protocollo di autenticazione.
- Utilizzando il codice di autorizzazione restituito nel reindirizzamento OAuth, l'applicazione client OAuth deve quindi effettuare una chiamata all'endpoint
/tokensull'hostname dell'API Looker, ad esempiohttps://instance_name.looker.com:19999. Il nome host dell'API potrebbe essere uguale o diverso dal nome host dell'interfaccia utente di Looker. L'endpoint/tokenesiste solo sull'host dell'API Looker e l'endpoint/authesiste solo sull'host dell'interfaccia utente di Looker. - Se il codice di autorizzazione passato all'endpoint
/tokenè valido, Looker restituisce un'APIaccess_tokenabilitata per le richieste dell'API CORS dal dominio dell'applicazione client OAuth.
Registrazione di un'applicazione client OAuth
Ogni applicazione client OAuth che tenta di autenticarsi nell'API Looker utilizzando OAuth deve prima essere registrata nell'istanza Looker prima che Looker autorizzi l'accesso. Per registrare un'applicazione client OAuth:
- Apri Explorer API nella tua istanza Looker.
- Utilizza il menu a discesa delle versioni per scegliere la versione 4.0 - stabile dell'API.
Sotto il metodo Auth, individua l'endpoint dell'API
register_oauth_client_app(). Puoi anche cercare "app OAuth" nel campo Cerca. Puoi utilizzareregister_oauth_client_app()per registrare la tua applicazione client OAuth con Looker. Fai clic sul pulsante Esegui, inserisci i parametri in Explorer API e fai di nuovo clic su Esegui per registrare l'applicazione client OAuth oppure utilizza l'endpoint APIregister_oauth_client_app()in modo programmatico. I parametriregister_oauth_client_app()obbligatori sono:client_guid: un ID univoco a livello globale per l'applicazioneredirect_uri: l'URI in cui l'applicazione riceverà un reindirizzamento OAuth che include un codice di autorizzazionedisplay_name: il nome dell'applicazione visualizzato agli utentidescription: una descrizione dell'applicazione che viene mostrata agli utenti in una pagina di informativa e conferma quando un utente accede per la prima volta dall'applicazione
I valori nei parametri
client_guideredirect_uridevono corrispondere esattamente ai valori forniti dall'applicazione client OAuth, altrimenti l'autenticazione verrà rifiutata.
Eseguire l'accesso utente utilizzando OAuth
Invita l'utente a visitare l'endpoint
/authsull'host dell'interfaccia utente. Ad esempio:async function oauth_login() { const code_verifier = secure_random(32) const code_challenge = await sha256_hash(code_verifier) const params = { response_type: 'code', client_id: '123456', redirect_uri: 'https://mywebapp.com:3000/authenticated', scope: 'cors_api', state: '1235813', code_challenge_method: 'S256', code_challenge: code_challenge, } const url = `${base_url}?${new URLSearchParams(params).toString()}` // Replace base_url with your full Looker instance's UI host URL, plus the `/auth` endpoint. log(url) // Stash the code verifier we created in sessionStorage, which // will survive page loads caused by login redirects // The code verifier value is needed after the login redirect // to redeem the auth_code received for an access_token // sessionStorage.setItem('code_verifier', code_verifier) document.location = url } function array_to_hex(array) { return Array.from(array).map(b => b.toString(16).padStart(2,'0')).join('') } function secure_random(byte_count) { const array = new Uint8Array(byte_count); crypto.getRandomValues(array); return array_to_hex(array) } async function sha256_hash(message) { const msgUint8 = new TextEncoder().encode(message) const hashBuffer = await crypto.subtle.digest('SHA-256', msgUint8) return base64.urlEncode(hashBuffer)) // Refers to the implementation of base64.encode stored at https://gist.github.com/jhurliman/1250118 }Looker tenterà di autenticare l'utente utilizzando il sistema di autenticazione per cui è configurata l'istanza Looker.
- Se l'utente ha già eseguito l'accesso a Looker nel browser corrente (ovvero è presente uno stato attivo del cookie di accesso), non gli verrà chiesto di inserire le credenziali di accesso.
- Se è la prima volta che l'utente accede utilizzando questa applicazione client OAuth, Looker mostrerà una pagina informativa e di conferma che l'utente dovrà confermare e accettare. Verrà visualizzato il testo del parametro
descriptionutilizzato durante la registrazione dell'applicazione. La descrizione deve indicare cosa intende fare l'applicazione con l'account Looker dell'utente. Quando l'utente fa clic su Accetta, la pagina viene reindirizzata all'applicazioneredirect_uri. - Se l'utente ha già eseguito l'accesso a Looker nel browser corrente e ha già accettato la pagina informativa, l'accesso OAuth è istantaneo senza interruzioni visive.
L'API Looker restituirà un reindirizzamento OAuth all'applicazione client OAuth. Salva il codice di autorizzazione indicato nel parametro URI. Di seguito è riportato un esempio di URI di reindirizzamento OAuth:
https://mywebapp.com:3000/authenticated?&code=asdfasdfassdf&state=...Il codice di autorizzazione viene visualizzato dopo
&code=nell'URI. In questo esempio, il codice di autorizzazione èasdfasdfassdf.Effettua una richiesta web all'endpoint
/tokennell'API Looker, passando il codice di autorizzazione e le informazioni sulla tua applicazione. Ad esempio:async function redeem_auth_code(response_str) { const params = new URLSearchParams(response_str) const auth_code = params.get('code') if (!auth_code) { log('ERROR: No authorization code in response') return } log(`auth code received: ${auth_code}`) log(`state: ${params.get('state')}`) const code_verifier = sessionStorage.getItem('code_verifier') if (!code_verifier) { log('ERROR: Missing code_verifier in session storage') return } sessionStorage.removeItem('code_verifier') const response = await fetch('https://mycompany.looker.com:19999/api/token', { // This is the URL of your Looker instance's API web service method: 'POST', mode: 'cors', // This line is required so that the browser will attempt a CORS request. body: stringify({ grant_type: 'authorization_code', client_id: '123456', redirect_uri: 'https://mywebapp.com:3000/authenticated', code: auth_code, code_verifier: code_verifier, }), headers: { 'x-looker-appid': 'Web App Auth & CORS API Demo', // This header is optional. 'Content-Type': 'application/json;charset=UTF-8' // This header is required. }, }).catch((error) => { log(`Error: ${error.message}`) }) const info = await response.json() log(`/api/token response: ${stringify(info)}`) // Store the access_token and other info, // which in this example is done in sessionStorage const expires_at = new Date(Date.now() + (info.expires_in * 1000)) info.expires_at = expires_at log(`Access token expires at ${expires_at.toLocaleTimeString()} local time.`) sessionStorage.setItem('access_info', stringify(info)) access_info = info }Una risposta positiva fornirà all'applicazione client OAuth un'API
access_token. La risposta conterrà anche unrefresh_token, che potrai utilizzare in un secondo momento per ottenere un nuovoaccess_tokensenza interazione da parte dell'utente. Unrefresh_tokenha una durata di un mese. Conserva ilrefresh_tokenin un luogo sicuro.Tutti i token di questo sistema possono essere revocati dall'amministratore di Looker in qualsiasi momento.