当 Looker 使用签名嵌入嵌入到 iframe 中时,某些浏览器默认采用会阻止第三方 Cookie 的 Cookie 政策。当嵌入的 iframe 从与加载嵌入应用的网域不同的网域加载时,系统会拒绝第三方 Cookie。您通常可以通过申请和使用自定义网域来解决此限制。不过,在某些情况下,无法使用个性化域名。在这些情况下,可以使用 Looker 无 Cookie 嵌入。
无 Cookie 嵌入的工作原理
如果未屏蔽第三方 Cookie,用户首次登录 Looker 时会创建会话 Cookie。此 Cookie 会随每个用户请求一起发送,Looker 服务器会使用它来确定发起请求的用户的身份。当 Cookie 被屏蔽时,系统不会随请求发送 Cookie,因此 Looker 服务器无法识别与请求关联的用户。
为了解决此问题,Looker 无 Cookie 嵌入会将令牌与每个请求相关联,以便在 Looker 服务器中重新创建用户会话。嵌入式应用负责获取这些令牌,并使其可供在嵌入式 iframe 中运行的 Looker 实例使用。本文档的其余部分将介绍获取和提供这些令牌的过程。
如需使用任一 API,嵌入式应用必须能够通过管理员权限向 Looker API 进行身份验证。嵌入网域还必须列在嵌入网域许可名单中,或者,如果使用 Looker 23.8 或更高版本,则可以在获取无 Cookie 会话时包含嵌入网域。
创建 Looker 嵌入 iframe
以下序列图展示了嵌入 iframe 的创建过程。可能会同时生成多个 iframe,也可能会在未来的某个时间点生成多个 iframe。如果实现正确,iframe 将自动加入由第一个 iframe 创建的会话。Looker Embed SDK 会自动加入现有会话,从而简化此流程。
- 用户在嵌入式应用中执行操作,导致创建 Looker iframe。
- 嵌入式应用客户端获取 Looker 会话。Looker Embed SDK 可用于启动此会话,但必须提供端点网址或回调函数。如果使用回调函数,该函数将调用嵌入式应用服务器来获取 Looker 嵌入会话。否则,嵌入 SDK 将调用所提供的端点网址。
- 嵌入应用服务器使用 Looker API 获取嵌入会话。此 API 调用类似于 Looker 签名嵌入的签名流程,因为它接受嵌入用户定义作为输入。如果调用用户已存在 Looker 嵌入会话,则应在调用中包含关联的会话引用令牌。本文档的获取会话部分将对此进行更详细的说明。
- 获取嵌入会话端点处理与签名
/login/embed/(signed url)端点类似,它需要将 Looker 嵌入用户定义作为请求正文,而不是在网址中。获取嵌入会话端点进程会验证嵌入用户,然后创建或更新该用户。它还可以接受现有会话引用令牌。这一点很重要,因为这样可以允许多个 Looker 嵌入式 iframe 共享同一会话。如果提供了会话引用令牌,并且会话尚未过期,则不会更新嵌入用户。这支持以下使用情形:一个 iframe 是使用签名嵌入网址创建的,而其他 iframe 是在没有签名嵌入网址的情况下创建的。在这种情况下,没有签名嵌入网址的 iframe 将继承第一个会话中的 Cookie。 - Looker API 调用会返回四个令牌,每个令牌都有一个存留时间 (TTL):
- 授权令牌(TTL = 30 秒)
- 导航令牌(TTL = 10 分钟)
- API 令牌(TTL = 10 分钟)
- 会话引用令牌(TTL = 会话的剩余生命周期)
- 嵌入式应用服务器必须跟踪 Looker 数据返回的数据,并将其与调用用户和调用用户浏览器的用户代理相关联。本文档的生成令牌部分提供了有关如何执行此操作的建议。此调用将返回授权令牌、导航令牌和 API 令牌,以及所有关联的 TTL。会话引用令牌应受到保护,不应在调用浏览器中公开。
将令牌返回给浏览器后,必须构建 Looker 嵌入登录网址。Looker 嵌入 SDK 会自动构建嵌入登录网址。如需使用
windows.postMessageAPI 构建嵌入式登录网址,请参阅本文档的使用 Lookerwindows.postMessageAPI 部分,查看相关示例。登录网址不包含已签名的嵌入用户详细信息。它包含目标 URI(包括导航令牌)和授权令牌(作为查询参数)。授权令牌必须在 30 秒内使用,并且只能使用一次。如果需要其他 iframe,则必须再次获取嵌入会话。不过,如果提供了会话引用令牌,则授权令牌将与同一会话相关联。
Looker 嵌入登录端点会确定登录是否适用于无 Cookie 嵌入,这由授权令牌的存在与否来表示。如果授权令牌有效,则检查以下内容:
- 关联的会话仍然有效。
- 关联的嵌入用户仍然有效。
- 与请求关联的浏览器用户代理与与会话关联的浏览器代理一致。
如果上一步中的检查通过,系统会使用网址中包含的目标 URI 重定向请求。此过程与 Looker 签名嵌入登录过程相同。
此请求是启动 Looker 信息中心的重定向。此请求将包含导航令牌作为参数。
在执行端点之前,Looker 服务器会在请求中查找导航令牌。如果服务器找到令牌,则会检查以下内容:
- 关联的会话仍然有效。
- 与请求关联的浏览器用户代理与与会话关联的浏览器代理一致。
如果有效,则为请求恢复会话,并运行信息中心请求。
用于加载信息中心的 HTML 会返回到 iframe。
在 iframe 中运行的 Looker 界面会确定信息中心 HTML 是无 Cookie 的嵌入响应。此时,Looker 界面会向嵌入式应用发送一条消息,请求在第 6 步中检索到的令牌。然后,界面会一直等待,直到收到令牌。如果令牌未到达,系统会显示一条消息。
嵌入式应用将令牌发送到 Looker 嵌入式 iframe。
收到令牌后,在 iframe 中运行的 Looker 界面会开始渲染请求对象。在此过程中,界面将向 Looker 服务器发出 API 调用。在第 15 步中收到的 API 令牌会自动作为标头注入到所有 API 请求中。
在执行任何端点之前,Looker 服务器会在请求中查找 API 令牌。如果服务器找到该令牌,则会检查以下内容:
- 关联的会话仍然有效。
- 与请求关联的浏览器用户代理与与会话关联的浏览器代理一致。
如果会话有效,系统会为请求恢复该会话,然后运行 API 请求。
返回信息中心数据。
系统会呈现信息中心。
用户可以控制信息中心。
生成新令牌
以下序列图说明了新令牌的生成。
- 在嵌入式 iframe 中运行的 Looker 界面会监控嵌入令牌的 TTL。
- 当令牌即将过期时,Looker 界面会向嵌入式应用客户端发送刷新令牌消息。
- 然后,嵌入式应用客户端会从嵌入式应用服务器中实现的端点请求新令牌。Looker Embed SDK 会自动请求新令牌,但必须提供端点网址或回调函数。如果使用回调函数,它将调用嵌入式应用服务器来生成新令牌。否则,嵌入 SDK 将调用所提供的端点网址。
- 嵌入应用会查找与嵌入会话关联的
session_reference_token。Looker Embed SDK Git 代码库中提供的示例使用会话 Cookie,但也可以使用分布式服务器端缓存(例如 Redis)。 - 嵌入式应用服务器调用 Looker 服务器,请求生成令牌。除了发起请求的浏览器的用户代理之外,此请求还需要最新的 API 和导航令牌。
- Looker 服务器会验证用户代理、会话引用令牌、导航令牌和 API 令牌。如果请求有效,系统会生成新令牌。
- 令牌会返回给调用嵌入应用服务器。
- 嵌入式应用服务器从响应中剥离会话引用令牌,并将剩余的响应返回给嵌入式应用客户端。
- 嵌入式应用客户端会将新生成的令牌发送到 Looker 界面。Looker Embed SDK 会自动执行此操作。使用
windows.postMessageAPI 的嵌入式应用客户端将负责发送令牌。Looker 界面收到令牌后,会在后续 API 调用和网页导航中使用这些令牌。
实现 Looker 不使用 Cookie 的嵌入式功能
Looker 无 Cookie 嵌入功能可以使用 Looker 嵌入 SDK 或 windows.postMessage API 来实现。您可以使用 Looker Embed SDK 方法,但我们还提供了一个展示如何使用 windows.postMessage API 的示例。如需详细了解这两种实现,请参阅 Looker Embed SDK README 文件。嵌入式 SDK Git 代码库还包含有效的实现。
配置 Looker 实例
不使用 Cookie 的嵌入式功能与 Looker 签名嵌入式功能有共同之处。如需使用无 Cookie 嵌入,管理员必须启用嵌入式单点登录身份验证。不过,与 Looker 签名嵌入不同的是,不使用 Cookie 的嵌入不使用嵌入密钥设置。无 Cookie 嵌入使用 JSON Web 令牌 (JWT),以嵌入 JWT Secret 设置的形式呈现,该设置可在管理菜单的平台部分中的嵌入页面上进行设置或重置。
设置 JWT Secret 是不需要的,因为首次尝试创建无 Cookie 嵌入会话时会创建 JWT。请避免重置此令牌,否则会导致所有有效的无 Cookie 嵌入会话失效。
与嵌入密钥不同,嵌入 JWT 密钥永远不会公开,因为它仅在 Looker 服务器内部使用。
应用客户端实现
本部分包含有关如何在应用客户端中实现无 Cookie 嵌入的示例,并包含以下子部分:
安装或更新 Looker Embed SDK
如需使用无 Cookie 嵌入,必须使用以下 Looker SDK 版本:
@looker/embed-sdk >= 2.0.0
@looker/sdk >= 22.16.0
使用 Looker Embed SDK
Embed SDK 中新增了一种初始化方法,用于启动无 Cookie 会话。此方法接受两个网址字符串或两个回调函数。网址字符串应引用嵌入式应用服务器中的端点。有关应用服务器上这些端点的实现细节,请参阅本文档的应用服务器实现部分。
getEmbedSDK().initCookieless(
runtimeConfig.lookerHost,
'/acquire-embed-session',
'/generate-embed-tokens'
)
以下示例展示了如何使用回调。只有在嵌入客户端应用需要了解 Looker 嵌入会话的状态时,才应使用回调。您还可以使用 session:status 事件,这样就不必再将回调与 Embed SDK 搭配使用。
const acquireEmbedSessionCallback =
async (): Promise<LookerEmbedCookielessSessionData> => {
const resp = await fetch('/acquire-embed-session')
if (!resp.ok) {
console.error('acquire-embed-session failed', { resp })
throw new Error(
`acquire-embed-session failed: ${resp.status} ${resp.statusText}`
)
}
return (await resp.json()) as LookerEmbedCookielessSessionData
}
const generateEmbedTokensCallback =
async ({ api_token, navigation_token }): Promise<LookerEmbedCookielessSessionData> => {
const resp = await fetch('/generate-embed-tokens', {
method: 'PUT',
headers: { 'content-type': 'application/json' },
body: JSON.stringify({ api_token, navigation_token }),
})
if (!resp.ok) {
console.error('generate-embed-tokens failed', { resp })
throw new Error(
`generate-embed-tokens failed: ${resp.status} ${resp.statusText}`
)
}
return (await resp.json()) as LookerEmbedCookielessSessionData
}
getEmbedSDK().initCookieless(
runtimeConfig.lookerHost,
acquireEmbedSessionCallback,
generateEmbedTokensCallback
)
使用 Looker windows.postMessage API
您可以在 Embed SDK Git 代码库的 message_example.ts 和 message_utils.ts 文件中查看使用 windows.postMessage API 的详细示例。此示例的亮点详见下文。
以下示例展示了如何构建 iframe 的网址。回调函数与之前看到的 acquireEmbedSessionCallback 示例相同。
private async getCookielessLoginUrl(): Promise<string> {
const { authentication_token, navigation_token } =
await this.embedEnvironment.acquireSession()
const url = this.embedUrl.startsWith('/embed')
? this.embedUrl
: `/embed${this.embedUrl}`
const embedUrl = new URL(url, this.frameOrigin)
if (!embedUrl.searchParams.has('embed_domain')) {
embedUrl.searchParams.set('embed_domain', window.location.origin)
}
embedUrl.searchParams.set('embed_navigation_token', navigation_token)
const targetUri = encodeURIComponent(
`${embedUrl.pathname}${embedUrl.search}${embedUrl.hash}`
)
return `${embedUrl.origin}/login/embed/${targetUri}?embed_authentication_token=${authentication_token}`
}
以下示例演示了如何监听令牌请求、生成新令牌并将其发送到 Looker。回调函数与之前的 generateEmbedTokensCallback 示例相同。
this.on(
'session:tokens:request',
this.sessionTokensRequestHandler.bind(this)
)
private connected = false
private async sessionTokensRequestHandler(_data: any) {
const contentWindow = this.getContentWindow()
if (contentWindow) {
if (!this.connected) {
// When not connected the newly acquired tokens can be used.
const sessionTokens = this.embedEnvironment.applicationTokens
if (sessionTokens) {
this.connected = true
this.send('session:tokens', this.embedEnvironment.applicationTokens)
}
} else {
// If connected, the embedded Looker application has decided that
// it needs new tokens. Generate new tokens.
const sessionTokens = await this.embedEnvironment.generateTokens()
this.send('session:tokens', sessionTokens)
}
}
}
send(messageType: string, data: any = {}) {
const contentWindow = this.getContentWindow()
if (contentWindow) {
const message: any = {
type: messageType,
...data,
}
contentWindow.postMessage(JSON.stringify(message), this.frameOrigin)
}
return this
}
应用服务器实现
本部分包含有关如何在应用服务器中实现无 Cookie 嵌入的示例,并包含以下子部分:
基本实现
嵌入应用需要实现两个服务器端点,这两个端点将调用 Looker 端点。这是为了确保会话引用令牌保持安全。这些端点包括:
- 获取会话 - 如果会话引用令牌已存在且仍处于有效状态,则对会话的请求将加入现有会话。在创建 iframe 时调用获取会话。
- 生成令牌 - Looker 会定期触发对该端点的调用。
获取会话
此 TypeScript 示例使用会话来保存或恢复会话引用令牌。端点不一定需要使用 TypeScript 实现。
app.get(
'/acquire-embed-session',
async function (req: Request, res: Response) {
try {
const current_session_reference_token =
req.session && req.session.session_reference_token
const response = await acquireEmbedSession(
req.headers['user-agent']!,
user,
current_session_reference_token
)
const {
authentication_token,
authentication_token_ttl,
navigation_token,
navigation_token_ttl,
session_reference_token,
session_reference_token_ttl,
api_token,
api_token_ttl,
} = response
req.session!.session_reference_token = session_reference_token
res.json({
api_token,
api_token_ttl,
authentication_token,
authentication_token_ttl,
navigation_token,
navigation_token_ttl,
session_reference_token_ttl,
})
} catch (err: any) {
res.status(400).send({ message: err.message })
}
}
)
async function acquireEmbedSession(
userAgent: string,
user: LookerEmbedUser,
session_reference_token: string
) {
await acquireLookerSession()
try {
const request = {
...user,
session_reference_token: session_reference_token,
}
const sdk = new Looker40SDK(lookerSession)
const response = await sdk.ok(
sdk.acquire_embed_cookieless_session(request, {
headers: {
'User-Agent': userAgent,
},
})
)
return response
} catch (error) {
console.error('embed session acquire failed', { error })
throw error
}
}
从 Looker 23.8 开始,获取无 Cookie 会话时可以包含嵌入网域。这是使用 Looker 管理 > 嵌入 面板添加嵌入网域的替代方法。Looker 会将嵌入网域保存在 Looker 内部数据库中,因此不会显示在管理 > 嵌入面板中。嵌入网域会改为与不使用 Cookie 的会话相关联,并且仅在会话期间存在。如果您决定利用此功能,请查看安全性最佳实践。
生成令牌
此 TypeScript 示例使用会话来保存或恢复会话引用令牌。端点不一定需要使用 TypeScript 实现。
请务必了解如何处理令牌无效时出现的 400 响应。虽然不应返回 400 响应,但如果确实返回了,最佳做法是终止 Looker 嵌入会话。您可以通过销毁嵌入 iframe 或在 session:tokens 消息中将 session_reference_token_ttl 值设置为零来终止 Looker 嵌入会话。如果您将 session_reference_token_ttl 值设置为零,Looker iframe 会显示会话过期对话框。
嵌入会话过期时,不会返回 400 响应。如果嵌入会话已过期,则会返回 200 响应,并将 session_reference_token_ttl 值设置为零。
app.put(
'/generate-embed-tokens',
async function (req: Request, res: Response) {
try {
const session_reference_token = req.session!.session_reference_token
const { api_token, navigation_token } = req.body as any
const tokens = await generateEmbedTokens(
req.headers['user-agent']!,
session_reference_token,
api_token,
navigation_token
)
res.json(tokens)
} catch (err: any) {
res.status(400).send({ message: err.message })
}
}
)
}
async function generateEmbedTokens(
userAgent: string,
session_reference_token: string,
api_token: string,
navigation_token: string
) {
if (!session_reference_token) {
console.error('embed session generate tokens failed')
// missing session reference treat as expired session
return {
session_reference_token_ttl: 0,
}
}
await acquireLookerSession()
try {
const sdk = new Looker40SDK(lookerSession)
const response = await sdk.ok(
sdk.generate_tokens_for_cookieless_session(
{
api_token,
navigation_token,
session_reference_token: session_reference_token || '',
},
{
headers: {
'User-Agent': userAgent,
},
}
)
)
return {
api_token: response.api_token,
api_token_ttl: response.api_token_ttl,
navigation_token: response.navigation_token,
navigation_token_ttl: response.navigation_token_ttl,
session_reference_token_ttl: response.session_reference_token_ttl,
}
} catch (error: any) {
if (error.message?.includes('Invalid input tokens provided')) {
// The Looker UI does not know how to handle bad
// tokens. This shouldn't happen but if it does expire the
// session. If the token is bad there is not much that that
// the Looker UI can do.
return {
session_reference_token_ttl: 0,
}
}
console.error('embed session generate tokens failed', { error })
throw error
}
实现方面的注意事项
嵌入应用必须跟踪会话引用令牌,并确保其安全性。此令牌应与嵌入式应用用户相关联。嵌入式应用令牌可以通过以下任一方式存储:
- 在嵌入式应用的用户会话中
- 在集群环境中可用的服务器端缓存中
- 在与用户关联的数据库表中
如果将会话存储为 Cookie,则应加密该 Cookie。嵌入 SDK 代码库中的示例使用会话 Cookie 来存储会话引用令牌。
当 Looker 嵌入会话过期时,嵌入的 iframe 中会显示一个对话框。此时,用户将无法在嵌入式实例中执行任何操作。发生这种情况时,系统会生成 session:status 事件,从而使嵌入式应用能够检测嵌入式 Looker 应用的当前状态并采取某种操作。
嵌入式应用可以通过检查 generate_tokens 端点返回的 session_reference_token_ttl 值是否为零来检测嵌入会话是否已过期。如果值为零,则表示嵌入会话已过期。考虑在无 Cookie 嵌入初始化时使用回调函数来生成令牌。然后,回调函数可以确定嵌入会话是否已过期,并销毁嵌入的 iframe,以替代使用默认的嵌入会话过期对话框。
运行 Looker 无 Cookie 嵌入示例
嵌入 SDK 代码库包含一个用 TypeScript 编写的 Node Express 服务器和客户端,用于实现嵌入式应用。之前显示的示例均来自此实现。以下内容假设您的 Looker 实例已配置为使用无 Cookie 嵌入,如前所述。
您可以按如下方式运行服务器:
- 克隆 Embed SDK 代码库 -
git clone git@github.com:looker-open-source/embed-sdk.git - 更改目录 -
cd embed-sdk - 安装依赖项 -
npm install - 配置服务器,如本文档的配置服务器部分所示。
- 运行服务器 -
npm run server
配置服务器
在克隆的代码库的根目录中创建一个 .env 文件(此文件包含在 .gitignore 中)。
其格式如下所示:
LOOKER_WEB_URL=your-looker-instance-url.com
LOOKER_API_URL=https://your-looker-instance-url.com
LOOKER_DEMO_HOST=localhost
LOOKER_DEMO_PORT=8080
LOOKER_EMBED_SECRET=embed-secret-from-embed-admin-page
LOOKER_CLIENT_ID=client-id-from-user-admin-page
LOOKER_CLIENT_SECRET=client-secret-from-user-admin-page
LOOKER_DASHBOARD_ID=id-of-dashboard
LOOKER_LOOK_ID=id-of-look
LOOKER_EXPLORE_ID=id-of-explore
LOOKER_EXTENSION_ID=id-of-extension
LOOKER_VERIFY_SSL=true
LOOKER_REPORT_ID=id-of-report
LOOKER_QUERY_VISUALIZATION_ID=id-of-query-visualization