使用已签名嵌入将 Looker 嵌入 iframe 时,某些浏览器会默认采用会屏蔽第三方 Cookie 的 Cookie 政策。如果加载嵌入式 iframe 的网域与加载嵌入式应用的网域不同,则第三方 Cookie 会被拒绝。通常,您可以通过请求并使用个性化域名来解决这一限制。但是,在某些情况下,不能使用个性化域名。在这些场景中,可以使用 Looker 无 Cookie 嵌入。
无 Cookie 嵌入的工作原理是什么?
如果未屏蔽第三方 Cookie,则在用户首次登录 Looker 时,系统会创建一个会话 Cookie。此 Cookie 随每个用户请求一起发送,Looker 服务器使用该 Cookie 确定发起请求的用户身份。屏蔽 Cookie 后,Cookie 不会随请求一起发送,因此 Looker 服务器无法识别与该请求关联的用户。
为了解决此问题,Looker 无 Cookie 嵌入会将令牌与每个请求相关联,这些请求可用于在 Looker 服务器中重新创建用户会话。嵌入应用负责获取这些令牌,并将其提供给在嵌入的 iframe 中运行的 Looker 实例。本文档的其余部分介绍了获取和提供这些令牌的过程。
如需使用上述任一 API,嵌入应用必须能够以管理员权限向 Looker API 进行身份验证。嵌入网域还必须列在嵌入网域许可名单中,或者(如果使用 Looker 23.8 或更高版本)在获取无 Cookie 会话时包含嵌入网域。
创建 Looker 嵌入 iframe
下图序列图展示了如何创建嵌入 iframe。可能会同时生成多个 iframe,也可以在将来的某个时间点生成这些 iframe。正确实现后,iframe 会自动连接第一个 iframe 创建的会话。Looker Embed SDK 会自动加入现有会话,从而简化此过程。
- 用户在嵌入应用中执行操作,导致创建 Looker iframe。
- 嵌入式应用客户端会获取 Looker 会话。您可以使用 Looker 嵌入 SDK 发起此会话,但必须提供端点网址或回调函数。如果使用回调函数,它将调用嵌入应用服务器以获取 Looker 嵌入会话。否则,嵌入 SDK 将调用所提供的端点网址。
- 嵌入应用服务器使用 Looker API 获取嵌入会话。此 API 调用与 Looker 签名嵌入签名流程类似,因为它接受嵌入用户定义作为输入。如果调用方用户已有 Looker 嵌入会话,则调用中应包含关联的会话引用令牌。本文的赢得会话部分将对此进行更详细的说明。
- 获取嵌入会话端点的处理与已签名的
/login/embed/{signed url)端点类似,因为它需要 Looker 嵌入用户定义作为请求的正文,而不是网址。获取嵌入会话端点流程会验证并创建或更新嵌入用户。它还可以接受现有的会话引用令牌。这一点很重要,因为它允许多个嵌入的 Looker iframe 共享同一会话。如果提供了会话引用令牌且会话未过期,嵌入用户将不会更新。这支持以下用例:使用带签名的嵌入网址创建一个 iframe,而其他 iframe 则不使用带签名的嵌入网址创建。在这种情况下,不含签名嵌入网址的 iframe 将继承来自首次会话的 Cookie。 - Looker API 调用会返回四个令牌,每个令牌都有存留时间 (TTL):
- 授权令牌(TTL = 30 秒)
- 导航令牌(TTL = 10 分钟)
- API 令牌(TTL = 10 分钟)
- 会话引用令牌(TTL = 会话的剩余生命周期)
- 嵌入式应用服务器必须跟踪 Looker 数据返回的数据,并将其与发起调用的用户和发起调用用户浏览器的用户代理相关联。本文档的生成令牌部分提供了有关如何执行此操作的建议。此调用将返回授权令牌、导航令牌和 API 令牌,以及所有关联的 TTL。会话引用令牌应处于安全状态,且不得在调用浏览器中公开。
将令牌返回给浏览器后,必须构建 Looker 嵌入式登录网址。Looker 嵌入 SDK 会自动构建嵌入登录网址。如需使用
windows.postMessageAPI 构建嵌入式登录网址,请参阅本文档的使用 Lookerwindows.postMessageAPI 部分,查看相关示例。登录网址不包含已签名的嵌入用户详细信息。它包含目标 URI(包括导航令牌)以及作为查询参数的授权令牌。授权令牌必须在 30 秒内使用,并且只能使用一次。如果需要额外的 iframe,则必须再次获取嵌入会话。不过,如果提供会话引用令牌,则授权令牌将与同一会话相关联。
Looker 嵌入登录端点用于确定登录是用于无 Cookie 嵌入的,这由是否存在授权令牌来表示。如果授权令牌有效,它会检查以下内容:
- 关联的会话仍有效。
- 关联的嵌入用户仍然有效。
- 与请求关联的浏览器用户代理与与会话关联的浏览器代理匹配。
如果上一步中的检查通过,系统会使用网址中包含的目标 URI 重定向请求。这与使用 Looker 签名的嵌入登录流程相同。
此请求是为了启动 Looker 信息中心。此请求将将导航令牌作为参数。
在执行端点之前,Looker 服务器会在请求中查找导航令牌。如果服务器找到令牌,则会检查以下内容:
- 关联的会话仍然有效。
- 与请求关联的浏览器用户代理与与会话关联的浏览器代理匹配。
如果有效,系统会为请求恢复会话,并运行信息中心请求。
用于加载信息中心的 HTML 会返回到 iframe。
在 iframe 中运行的 Looker 界面确定信息中心 HTML 是无 Cookie 嵌入响应。此时,Looker 界面会向嵌入应用发送消息,请求获取在第 6 步中检索到的令牌。然后,界面会等待,直到收到令牌。如果令牌未送达,系统会显示一条消息。
嵌入应用会将令牌发送到嵌入的 Looker iframe。
收到令牌后,iframe 中运行的 Looker 界面会启动呈现请求对象的进程。在此过程中,界面会向 Looker 服务器发出 API 调用。在第 15 步中收到的 API 令牌会作为标头自动注入所有 API 请求。
在执行任何端点之前,Looker 服务器会在请求中查找 API 令牌。如果服务器找到令牌,则会检查以下内容:
- 关联的会话仍然有效。
- 与请求关联的浏览器用户代理应与与会话关联的浏览器代理一致。
如果会话有效,系统会针对请求恢复会话,然后 API 请求开始运行。
系统会返回信息中心数据。
呈现信息中心。
用户可以控制信息中心。
生成新令牌
以下序列图展示了新令牌的生成过程。
- 在嵌入式 iframe 中运行的 Looker 界面会监控嵌入令牌的 TTL。
- 当令牌即将过期时,Looker 界面会向嵌入式应用客户端发送刷新令牌消息。
- 然后,嵌入式应用客户端会从嵌入式应用服务器中实现的端点请求新的令牌。Looker 嵌入 SDK 会自动请求新的令牌,但必须提供端点网址或回调函数。如果使用回调函数,它将调用嵌入应用服务器来生成新令牌。否则,Embed SDK 会调用所提供的端点网址。
- 嵌入应用会找到与嵌入会话关联的
session_reference_token。Looker Embed SDK Git 代码库中提供的示例使用会话 Cookie,但也可以使用分布式服务器端缓存(例如 Redis)。 - 嵌入应用服务器会通过请求来调用 Looker 服务器,以生成令牌。除了发起请求的浏览器的用户代理之外,此请求还需要近期的 API 和导航令牌。
- Looker 服务器会验证用户代理、会话引用令牌、导航令牌和 API 令牌。如果请求有效,系统会生成新令牌。
- 令牌会返回给调用嵌入应用服务器。
- 嵌入式应用服务器会从响应中剥离会话引用令牌,并将其余响应返回给嵌入式应用客户端。
- 嵌入式应用客户端会将新生成的令牌发送到 Looker 界面。Looker Embed SDK 会自动执行此操作。使用
windows.postMessageAPI 的嵌入应用客户端将负责发送令牌。Looker 界面收到令牌后,这些令牌将用于后续 API 调用和页面导航。
实现不使用 Cookie 的 Looker 嵌入
您可以使用 Looker 嵌入 SDK 或 windows.postMessage API 实现无 Cookie 嵌入。使用 Looker Embed SDK 的方法更简单,但我们也提供了一个示例来展示如何使用 windows.postMessage API。如需详细了解这两种实现,请参阅 Looker 嵌入 SDK README 文件。嵌入 SDK Git 代码库还包含有效的实现。
配置 Looker 实例
不使用 Cookie 的嵌入式功能与 Looker 签名嵌入有共同之处。无 Cookie 嵌入依赖于已启用嵌入单点登录身份验证。不过,与 Looker 签名的嵌入不同,无 Cookie 嵌入不使用 Embed Secret 设置。无 Cookie 嵌入使用 Embed JWT Secret 设置形式的 JSON Web 令牌 (JWT),您可在管理菜单的平台部分的嵌入页面中设置或重置此设置。
您不需要设置 JWT 密钥,因为第一次尝试创建无 Cookie 嵌入会话时将创建 JWT。请避免重置此令牌,因为重置后会导致所有有效的无 Cookie 嵌入会话失效。
与嵌入密钥不同,嵌入 JWT 密钥永远不会公开,因为它仅在 Looker 服务器内部使用。
应用客户端实现
本部分包含有关如何在应用客户端中实现无 Cookie 嵌入的示例,并包含以下子部分:
安装或更新 Looker Embed SDK
以下 Looker SDK 版本是使用无 Cookie 嵌入功能所必需的:
@looker/embed-sdk >= 1.8
@looker/sdk >= 22.16.0
使用 Looker 嵌入 SDK
我们在嵌入 SDK 中添加了一种新的初始化方法,用于发起无 Cookie 会话。此方法接受两个网址字符串或两个回调函数。网址字符串应引用嵌入应用服务器中的端点。有关应用服务器上这些端点的实现详情,请参阅本文档的应用服务器实现部分。
LookerEmbedSDK.initCookieless(
runtimeConfig.lookerHost,
'/acquire-embed-session',
'/generate-embed-tokens'
)
以下示例展示了如何使用回调。仅当嵌入客户端应用有必要了解 Looker 嵌入会话的状态时,才应使用回调。您还可以使用 session:status 事件,这样就无需在嵌入 SDK 中使用回调。
const acquireEmbedSessionCallback =
async (): Promise<LookerEmbedCookielessSessionData> => {
const resp = await fetch('/acquire-embed-session')
if (!resp.ok) {
console.error('acquire-embed-session failed', { resp })
throw new Error(
`acquire-embed-session failed: ${resp.status} ${resp.statusText}`
)
}
return (await resp.json()) as LookerEmbedCookielessSessionData
}
const generateEmbedTokensCallback =
async (): Promise<LookerEmbedCookielessSessionData> => {
const { api_token, navigation_token } = getApplicationTokens() || {}
const resp = await fetch('/generate-embed-tokens', {
method: 'PUT',
headers: { 'content-type': 'application/json' },
body: JSON.stringify({ api_token, navigation_token }),
})
if (!resp.ok) {
if (resp.status === 400) {
return { session_reference_token_ttl: 0 }
}
console.error('generate-embed-tokens failed', { resp })
throw new Error(
`generate-embed-tokens failed: ${resp.status} ${resp.statusText}`
)
}
return (await resp.json()) as LookerEmbedCookielessSessionData
}
LookerEmbedSDK.initCookieless(
runtimeConfig.lookerHost,
acquireEmbedSessionCallback,
generateEmbedTokensCallback
)
使用 Looker windows.postMessage API
您可以在嵌入式 SDK Git 代码库的 message_example.ts 和 message_utils.ts 文件中查看使用 windows.postMessage API 的详细示例。此处详细介绍了该示例的亮点。
以下示例演示了如何为 iframe 构建网址。该回调函数与之前的 acquireEmbedSessionCallback 示例相同。
private async getCookielessLoginUrl(): Promise<string> {
const { authentication_token, navigation_token } =
await this.embedEnvironment.acquireSession()
const url = this.embedUrl.startsWith('/embed')
? this.embedUrl
: `/embed${this.embedUrl}`
const embedUrl = new URL(url, this.frameOrigin)
if (!embedUrl.searchParams.has('embed_domain')) {
embedUrl.searchParams.set('embed_domain', window.location.origin)
}
embedUrl.searchParams.set('embed_navigation_token', navigation_token)
const targetUri = encodeURIComponent(
`${embedUrl.pathname}${embedUrl.search}${embedUrl.hash}`
)
return `${embedUrl.origin}/login/embed/${targetUri}?embed_authentication_token=${authentication_token}`
}
以下示例演示了如何监听令牌请求、生成新令牌并将其发送到 Looker。回调函数与前面的 generateEmbedTokensCallback 示例相同。
this.on(
'session:tokens:request',
this.sessionTokensRequestHandler.bind(this)
)
private connected = false
private async sessionTokensRequestHandler(_data: any) {
const contentWindow = this.getContentWindow()
if (contentWindow) {
if (!this.connected) {
// When not connected the newly acquired tokens can be used.
const sessionTokens = this.embedEnvironment.applicationTokens
if (sessionTokens) {
this.connected = true
this.send('session:tokens', this.embedEnvironment.applicationTokens)
}
} else {
// If connected, the embedded Looker application has decided that
// it needs new tokens. Generate new tokens.
const sessionTokens = await this.embedEnvironment.generateTokens()
this.send('session:tokens', sessionTokens)
}
}
}
send(messageType: string, data: any = {}) {
const contentWindow = this.getContentWindow()
if (contentWindow) {
const message: any = {
type: messageType,
...data,
}
contentWindow.postMessage(JSON.stringify(message), this.frameOrigin)
}
return this
}
应用服务器实现
本部分举例说明了如何在应用服务器中实现无 Cookie 嵌入,并包含以下子部分:
基本实现
嵌入应用需要实现两个将调用 Looker 端点的服务器端端点。这是为了确保会话引用令牌始终安全无虞。端点如下:
- 获取会话 — 如果会话引用令牌已存在且仍然有效,则会话请求将加入现有会话。在创建 iframe 时调用 acquire session。
- 生成令牌 - Looker 会定期触发对此端点的调用。
获取会话
TypeScript 中的此示例使用会话保存或恢复会话引用令牌。端点不必在 TypeScript 中实现。
app.get(
'/acquire-embed-session',
async function (req: Request, res: Response) {
try {
const current_session_reference_token =
req.session && req.session.session_reference_token
const response = await acquireEmbedSession(
req.headers['user-agent']!,
user,
current_session_reference_token
)
const {
authentication_token,
authentication_token_ttl,
navigation_token,
navigation_token_ttl,
session_reference_token,
session_reference_token_ttl,
api_token,
api_token_ttl,
} = response
req.session!.session_reference_token = session_reference_token
res.json({
api_token,
api_token_ttl,
authentication_token,
authentication_token_ttl,
navigation_token,
navigation_token_ttl,
session_reference_token_ttl,
})
} catch (err: any) {
res.status(400).send({ message: err.message })
}
}
)
async function acquireEmbedSession(
userAgent: string,
user: LookerEmbedUser,
session_reference_token: string
) {
await acquireLookerSession()
try {
const request = {
...user,
session_reference_token: session_reference_token,
}
const sdk = new Looker40SDK(lookerSession)
const response = await sdk.ok(
sdk.acquire_embed_cookieless_session(request, {
headers: {
'User-Agent': userAgent,
},
})
)
return response
} catch (error) {
console.error('embed session acquire failed', { error })
throw error
}
}
从 Looker 23.8 开始,在获取无 Cookie 会话时,可以添加嵌入网域。这是一种使用 Looker 管理 > 嵌入面板添加嵌入网域的替代方法。Looker 会将嵌入网域保存在 Looker 内部数据库中,因此该网域不会显示在管理 > 嵌入面板中。相反,嵌入网域与无 Cookie 会话相关联,并且仅在会话期间存在。如果您决定使用此功能,请参阅安全最佳实践。
生成令牌
TypeScript 中的以下示例使用会话来保存或恢复会话引用令牌。端点不必在 TypeScript 中实现。
请务必了解如何处理 400 响应,这种响应会在令牌无效时出现。不应出现 400 响应,但如果出现这种情况,最佳做法是终止 Looker 嵌入会话。您可以通过销毁嵌入 iframe 或在 session:tokens 消息中将 session_reference_token_ttl 值设置为零来终止 Looker 嵌入会话。如果您将 session_reference_token_ttl 值设置为零,Looker iframe 会显示会话已过期对话框。
嵌入会话过期时,系统不会返回 400 响应。如果嵌入会话已过期,系统会返回 200 响应,并将 session_reference_token_ttl 值设置为零。
app.put(
'/generate-embed-tokens',
async function (req: Request, res: Response) {
try {
const session_reference_token = req.session!.session_reference_token
const { api_token, navigation_token } = req.body as any
const tokens = await generateEmbedTokens(
req.headers['user-agent']!,
session_reference_token,
api_token,
navigation_token
)
res.json(tokens)
} catch (err: any) {
res.status(400).send({ message: err.message })
}
}
)
}
async function generateEmbedTokens(
userAgent: string,
session_reference_token: string,
api_token: string,
navigation_token: string
) {
if (!session_reference_token) {
console.error('embed session generate tokens failed')
// missing session reference treat as expired session
return {
session_reference_token_ttl: 0,
}
}
await acquireLookerSession()
try {
const sdk = new Looker40SDK(lookerSession)
const response = await sdk.ok(
sdk.generate_tokens_for_cookieless_session(
{
api_token,
navigation_token,
session_reference_token: session_reference_token || '',
},
{
headers: {
'User-Agent': userAgent,
},
}
)
)
return {
api_token: response.api_token,
api_token_ttl: response.api_token_ttl,
navigation_token: response.navigation_token,
navigation_token_ttl: response.navigation_token_ttl,
session_reference_token_ttl: response.session_reference_token_ttl,
}
} catch (error: any) {
if (error.message?.includes('Invalid input tokens provided')) {
// Currently the Looker UI does not know how to handle bad
// tokens. This should not happen but if it does expire the
// session. If the token is bad there is not much that that
// the Looker UI can do.
return {
session_reference_token_ttl: 0,
}
}
console.error('embed session generate tokens failed', { error })
throw error
}
实现方面的注意事项
嵌入应用必须跟踪会话引用令牌,并确保其安全。此令牌应与嵌入式应用用户相关联。嵌入式应用令牌可通过以下任一方式存储:
- 在嵌入式应用用户的会话中
- 位于可在集群环境中使用的服务器端缓存中
- 在与用户关联的数据库表中
如果将会话存储为 Cookie,则应对 Cookie 进行加密。嵌入 SDK 代码库中的示例使用会话 Cookie 来存储会话引用令牌。
Looker 嵌入会话过期后,嵌入的 iframe 中会显示一个对话框。此时,用户将无法在嵌入式实例中执行任何操作。当发生这种情况时,将生成 session:status 事件,以便嵌入应用能够检测嵌入式 Looker 应用的当前状态并执行某种操作。
嵌入应用可以通过检查 generate_tokens 端点返回的 session_reference_token_ttl 值是否为零来检测嵌入会话是否已过期。如果此值为零,则表示嵌入会话已过期。考虑在无 Cookie 嵌入初始化时,使用回调函数生成令牌。然后,回调函数可以确定嵌入会话是否已过期,并将销毁嵌入式 iframe,而不是使用默认的嵌入式会话已过期对话框。
运行无 Cookie 的 Looker 嵌入示例
嵌入 SDK 代码库包含一个简单的节点 Express 服务器和用 TypeScript 编写的客户端,用于实现简单的嵌入应用。之前显示的示例取自此实现。下文假定您的 Looker 实例已配置为使用无 Cookie 嵌入方式(如前所述)。
您可以按如下方式运行服务器:
- 克隆嵌入 SDK 代码库 -
git clone git@github.com:looker-open-source/embed-sdk.git - 更改目录 -
cd embed-sdk - 安装依赖项 -
npm install - 配置服务器,如本文档的配置服务器部分所示。
- 运行服务器 -
npm run server
配置服务器
在克隆的代码库的根目录中创建 .env 文件(该文件包含在 .gitignore 中)。
其格式如下所示:
LOOKER_EMBED_HOST=your-looker-instance-url.com.
LOOKER_EMBED_API_URL=https://your-looker-instance-url.com
LOOKER_DEMO_HOST=localhost
LOOKER_DEMO_PORT=8080
LOOKER_EMBED_SECRET=embed-secret-from-embed-admin-page
LOOKER_CLIENT_ID=client-id-from-user-admin-page
LOOKER_CLIENT_SECRET=client-secret-from-user-admin-page
LOOKER_DASHBOARD_ID=id-of-dashboard
LOOKER_LOOK_ID=id-of-look
LOOKER_EXPLORE_ID=id-of-explore
LOOKER_EXTENSION_ID=id-of-extension
LOOKER_VERIFY_SSL=true