Mengautentikasi pengguna dengan PHP

Aplikasi yang berjalan di platform terkelola Google Cloud seperti App Engine dapat menghindari pengelolaan autentikasi pengguna dan pengelolaan sesi menggunakan Identity-Aware Proxy (IAP) untuk mengontrol akses ke aplikasi tersebut. IAP tidak hanya dapat mengontrol akses ke aplikasi, tetapi juga memberikan informasi tentang pengguna yang diautentikasi, termasuk alamat email dan ID persisten ke aplikasi dalam bentuk header HTTP baru.

Tujuan

  • Wajibkan pengguna aplikasi App Engine Anda untuk mengautentikasi diri mereka sendiri dengan menggunakan IAP.

  • Mengakses identitas pengguna di aplikasi untuk menampilkan alamat email yang diautentikasi milik pengguna saat ini.

Biaya

Dalam dokumen ini, Anda menggunakan komponen Google Cloud yang dapat ditagih berikut:

Untuk membuat perkiraan biaya berdasarkan proyeksi penggunaan Anda, gunakan kalkulator harga. Pengguna baru Google Cloud mungkin memenuhi syarat untuk mendapatkan uji coba gratis.

Setelah menyelesaikan tugas yang dijelaskan dalam dokumen ini, Anda dapat menghindari penagihan berkelanjutan dengan menghapus resource yang Anda buat. Untuk mengetahui informasi selengkapnya, lihat Pembersihan.

Sebelum memulai

  1. Login ke akun Google Cloud Anda. Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.

  2. Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.

    Buka pemilih project

  3. Menginstal Google Cloud CLI.

  4. Untuk initialize gcloud CLI, jalankan perintah berikut: 

    gcloud init

  5. Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.

    Buka pemilih project

  6. Menginstal Google Cloud CLI.

  7. Untuk initialize gcloud CLI, jalankan perintah berikut: 

    gcloud init

Latar belakang

Tutorial ini menggunakan IAP untuk mengautentikasi pengguna. Ini hanyalah salah satu dari beberapa kemungkinan pendekatan. Untuk mempelajari berbagai metode autentikasi pengguna lebih lanjut, baca bagian Konsep autentikasi.

Aplikasi Hello user-email-address

Aplikasi untuk tutorial ini adalah aplikasi App Engine Halo dunia minimal, dengan satu fitur non-standar: aplikasi yang menampilkan "Hello user-email-address", bukan "Halo dunia", dengan user-email-address adalah alamat email pengguna yang telah diautentikasi.

Fungsi ini dapat dilakukan dengan memeriksa informasi terautentikasi yang ditambahkan IAP ke setiap permintaan web yang diteruskan ke aplikasi Anda. Ada tiga header permintaan baru yang ditambahkan ke setiap permintaan web yang mencapai aplikasi Anda. Dua header pertama adalah string teks biasa yang bisa digunakan untuk mengidentifikasi pengguna. Header ketiga adalah objek yang ditandatangani secara kriptografis dengan informasi yang sama tersebut.

  • X-Goog-Authenticated-User-Email: Alamat email pengguna mengidentifikasi mereka. Jangan menyimpan informasi pribadi jika aplikasi Anda dapat menghindarinya. Aplikasi ini tidak menyimpan data apa pun; tetapi hanya mengulanginya kembali ke pengguna.

  • X-Goog-Authenticated-User-Id: ID pengguna yang ditetapkan oleh Google tidak menampilkan informasi tentang pengguna tersebut, tetapi memungkinkan aplikasi mengetahui bahwa pengguna yang login sama dengan yang terlihat sebelumnya.

  • X-Goog-Iap-Jwt-Assertion: Anda dapat mengonfigurasi aplikasi Google Cloud untuk menerima permintaan web dari aplikasi cloud lainnya, mengabaikan IAP, selain permintaan web internet. Jika aplikasi dikonfigurasi seperti itu, mungkin permintaan tersebut mungkin telah memalsukan header. Daripada menggunakan header teks biasa yang disebutkan sebelumnya, Anda dapat menggunakan dan memverifikasi header yang ditandatangani secara kriptografis ini untuk memeriksa apakah informasi tersebut diberikan oleh Google. Alamat email pengguna dan ID pengguna tetap tersedia sebagai bagian dari header bertanda tangan ini.

Jika Anda yakin bahwa aplikasi telah dikonfigurasi sehingga hanya permintaan web internet yang dapat menjangkaunya, dan tidak ada yang dapat menonaktifkan layanan IAP untuk aplikasi, mengambil ID pengguna unik hanya memerlukan satu baris kode:

$userId = getallheaders()['X-Goog-Authenticated-User-Id'] ?? null;

Namun, aplikasi yang tangguh akan mengalami error, seperti masalah konfigurasi atau lingkungan yang tidak terduga. Jadi, sebaiknya buat fungsi yang menggunakan dan memverifikasi header yang ditandatangani secara kriptografis. Tanda tangan header tersebut tidak dapat dipalsukan, dan jika diverifikasi, dapat digunakan untuk menampilkan identifikasi.

Membuat kode sumber

  1. Gunakan editor teks untuk membuat file bernama index.php, dan tempelkan kode berikut di dalamnya:

    authentication-users/index.php 
    require_once __DIR__ . '/vendor/autoload.php';

/**
 * Checks that the JWT assertion is valid (properly signed, for the
 * correct audience) and if so, returns strings for the requesting user's
 * email and a persistent user ID. If not valid, returns null for each field.
 *
 * @param string $idToken The JWT string to assert.
 * @param string $audience The audience of the JWT.
 *
 * @return string[] array containing [$email, $id]
 * @throws Exception on failed validation
 */
function validate_assertion(string $idToken, string $audience) : array
{
    $auth = new Google\Auth\AccessToken();
    $info = $auth->verify($idToken, [
      'certsLocation' => Google\Auth\AccessToken::IAP_CERT_URL,
      'throwException' => true,
    ]);

    if ($audience != $info['aud'] ?? '') {
        throw new Exception(sprintf(
            'Audience %s did not match expected %s', $info['aud'], $audience
        ));
    }

    return [$info['email'], $info['sub']];
}

/**
 * This is an example of a front controller for a flat file PHP site. Using a
 * static list provides security against URL injection by default.
 */
switch (@parse_url($_SERVER['REQUEST_URI'])['path']) {
    case '/':
        if (!Google\Auth\Credentials\GCECredentials::onGce()) {
            throw new Exception('You must deploy to appengine to run this sample');
        }
        $metadata = new Google\Cloud\Core\Compute\Metadata();
        $audience = sprintf(
            '/projects/%s/apps/%s',
            $metadata->getNumericProjectId(),
            $metadata->getProjectId()
        );
        $idToken = getallheaders()['X-Goog-Iap-Jwt-Assertion'] ?? '';
        try {
            list($email, $id) = validate_assertion($idToken, $audience);
            printf("<h1>Hello %s</h1>", $email);
        } catch (Exception $e) {
            printf('Failed to validate assertion: %s', $e->getMessage());
        }
        break;
    case '': break; // Nothing to do, we're running our tests
    default:
        http_response_code(404);
        exit('Not Found');
}

    File index.php ini akan dijelaskan secara mendetail di bagian Memahami kode nanti dalam tutorial ini.

  2. Buat file lain bernama composer.json, dan tempelkan kode berikut ke dalamnya:

    autentikasi-users/composer.json 
    {
  "require": {
    "php": ">=7.1",
    "google/auth": "^1.9",
    "google/cloud-core": "^1.32",
    "kelvinmo/simplejwt": "^0.4.0"
  }
}

    File composer.json mencantumkan semua library PHP yang diperlukan aplikasi Anda untuk memuat App Engine:

    • firebase/php-jwt menyediakan fungsi pemeriksaan dan decoding JWT.

    • guzzle/http adalah klien HTTP untuk mengambil data dari situs.

  3. Buat file bernama app.yaml dan masukkan teks berikut ke dalamnya:

    authentication-users/app.yaml 
    runtime: php73

    File app.yaml memberi tahu App Engine lingkungan bahasa yang diperlukan kode Anda.

Memahami kode

Bagian ini menjelaskan cara kerja kode di index.php. Jika hanya ingin menjalankan aplikasi, Anda dapat langsung ke bagian Deploy aplikasi.

Kode berikut ada dalam file index.php. Saat permintaan HTTP GET ke halaman beranda diterima oleh aplikasi, kasus switch untuk / akan dipanggil:

authentication-users/index.php 
/**
 * This is an example of a front controller for a flat file PHP site. Using a
 * static list provides security against URL injection by default.
 */
switch (@parse_url($_SERVER['REQUEST_URI'])['path']) {
    case '/':
        if (!Google\Auth\Credentials\GCECredentials::onGce()) {
            throw new Exception('You must deploy to appengine to run this sample');
        }
        $metadata = new Google\Cloud\Core\Compute\Metadata();
        $audience = sprintf(
            '/projects/%s/apps/%s',
            $metadata->getNumericProjectId(),
            $metadata->getProjectId()
        );
        $idToken = getallheaders()['X-Goog-Iap-Jwt-Assertion'] ?? '';
        try {
            list($email, $id) = validate_assertion($idToken, $audience);
            printf("<h1>Hello %s</h1>", $email);
        } catch (Exception $e) {
            printf('Failed to validate assertion: %s', $e->getMessage());
        }
        break;
    case '': break; // Nothing to do, we're running our tests
    default:
        http_response_code(404);
        exit('Not Found');
}

Pernyataan switch mendapatkan nilai header pernyataan JWT yang ditambahkan IAP dari permintaan masuk dan memanggil fungsi untuk memvalidasi nilai yang ditandatangani secara kriptografis tersebut. Nilai pertama yang ditampilkan (email) kemudian digunakan di halaman web minimal yang dibuat dan ditampilkan oleh nilai tersebut.

authentication-users/index.php 
/**
 * Checks that the JWT assertion is valid (properly signed, for the
 * correct audience) and if so, returns strings for the requesting user's
 * email and a persistent user ID. If not valid, returns null for each field.
 *
 * @param string $idToken The JWT string to assert.
 * @param string $audience The audience of the JWT.
 *
 * @return string[] array containing [$email, $id]
 * @throws Exception on failed validation
 */
function validate_assertion(string $idToken, string $audience) : array
{
    $auth = new Google\Auth\AccessToken();
    $info = $auth->verify($idToken, [
      'certsLocation' => Google\Auth\AccessToken::IAP_CERT_URL,
      'throwException' => true,
    ]);

    if ($audience != $info['aud'] ?? '') {
        throw new Exception(sprintf(
            'Audience %s did not match expected %s', $info['aud'], $audience
        ));
    }

    return [$info['email'], $info['sub']];
}

Fungsi validate_assertion menggunakan library google/auth untuk memverifikasi bahwa pernyataan ditandatangani dengan benar dan untuk mengekstrak informasi payload dari pernyataan. Jika pernyataan tidak dapat didekode, fungsi akan menampilkan pengecualian. Jika berhasil, fungsi tersebut akan menampilkan alamat email pengguna yang diautentikasi dan ID unik persisten untuk pengguna tersebut.

Untuk memvalidasi pernyataan JWT, Anda harus mengetahui sertifikat kunci publik dari entity yang menandatangani pernyataan (dalam hal ini Google), dan audiens yang menjadi tujuan pernyataan tersebut. Untuk aplikasi App Engine, audience adalah string yang berisi informasi identifikasi project Google Cloud di dalamnya. Fungsi ini mendapatkan sertifikat dan string audiens tersebut dari fungsi sebelumnya.

authentication-users/index.php 
$metadata = new Google\Cloud\Core\Compute\Metadata();
$audience = sprintf(
    '/projects/%s/apps/%s',
    $metadata->getNumericProjectId(),
    $metadata->getProjectId()
);

Anda dapat mencari ID numerik dan nama project Google Cloud, lalu memasukkannya sendiri dalam kode sumber. Namun, fungsi audience akan melakukannya untuk Anda dengan membuat kueri layanan metadata standar yang disediakan untuk setiap aplikasi App Engine.

Layanan metadata App Engine (dan layanan metadata serupa untuk layanan Google Cloud computing lainnya) terlihat seperti situs dan dikueri oleh kueri web standar. Namun, ini sebenarnya bukan situs eksternal, melainkan fitur internal yang menampilkan informasi yang diminta tentang aplikasi yang sedang berjalan sehingga aman untuk menggunakan permintaan http, bukan https. Atribut ini digunakan untuk mendapatkan ID Google Cloud saat ini yang diperlukan untuk menentukan audience yang dituju oleh pernyataan JWT.

Men-deploy aplikasi

Sekarang, Anda dapat men-deploy aplikasi, lalu mengaktifkan IAP untuk mewajibkan pengguna melakukan autentikasi sebelum mereka dapat mengakses aplikasi.

  1. Di jendela terminal, buka direktori yang berisi file app.yaml, lalu deploy aplikasi ke App Engine:

    gcloud app deploy

  2. Saat diminta, pilih wilayah terdekat.

  3. Ketika ditanya apakah Anda ingin melanjutkan operasi deployment, masukkan Y.

    Dalam beberapa menit, aplikasi Anda akan aktif di internet.

  4. Lihat aplikasi:

    gcloud app browse

    Di output, salin web-site-url, alamat web untuk aplikasi.

  5. Di jendela browser, tempel web-site-url untuk membuka aplikasi.

    Tidak ada email yang ditampilkan karena Anda belum menggunakan IAP, sehingga tidak ada informasi pengguna yang dikirim ke aplikasi.

Aktifkan IAP

Setelah instance App Engine ada, Anda dapat melindunginya dengan IAP:

  1. Di konsol Google Cloud, buka halaman Identity-Aware Proxy.

    Buka halaman Identity-Aware Proxy

  2. Karena ini adalah pertama kalinya Anda mengaktifkan opsi autentikasi untuk project ini, Anda akan melihat pesan bahwa Anda harus mengonfigurasi layar izin OAuth sebelum dapat menggunakan IAP.

    Klik Konfigurasi Layar Persetujuan.

  3. Pada tab OAuth Consent Screen di halaman Credentials, lengkapi kolom berikut:

    • Jika akun Anda berada di organisasi Google Workspace, pilih External, lalu klik Create. Untuk memulai, aplikasi hanya akan tersedia untuk pengguna yang secara eksplisit Anda izinkan.

    • Di kolom Application name, masukkan IAP Example.

    • Di kolom Email dukungan, masukkan alamat email Anda.

    • Di kolom Domain yang diotorisasi, masukkan bagian nama host URL aplikasi, misalnya, iap-example-999999.uc.r.appspot.com. Tekan tombol Enter setelah memasukkan nama host di kolom.

    • Di kolom Link halaman beranda aplikasi, masukkan URL untuk aplikasi Anda, misalnya, https://iap-example-999999.uc.r.appspot.com/.

    • Di kolom Baris kebijakan privasi aplikasi, gunakan URL yang sama dengan link halaman beranda untuk tujuan pengujian.

  4. Klik Simpan. Saat diminta membuat kredensial, Anda dapat menutup jendela.

  5. Di konsol Google Cloud, buka halaman Identity-Aware Proxy.

    Buka halaman Identity-Aware Proxy

  6. Untuk memuat ulang halaman, klik Refresh . Halaman ini menampilkan daftar resource yang dapat dilindungi.

  7. Di kolom IAP, klik untuk mengaktifkan IAP untuk aplikasi.

  8. Di browser Anda, buka web-site-url lagi.

  9. Sebagai ganti halaman web, ada layar login untuk mengautentikasi diri Anda. Saat login, akses Anda akan ditolak karena IAP tidak memiliki daftar pengguna yang diizinkan masuk ke aplikasi.

Menambahkan pengguna yang diberi otorisasi ke aplikasi

  1. Di konsol Google Cloud, buka halaman Identity-Aware Proxy.

    Buka halaman Identity-Aware Proxy

  2. Centang kotak untuk aplikasi App Engine, lalu klik Add Principal.

  3. Masukkan allAuthenticatedUsers, lalu pilih peran Cloud IAP/IAP-Secured Web App User.

  4. Klik Simpan.

Kini, setiap pengguna yang dapat diautentikasi oleh Google dapat mengakses aplikasi. Jika mau, Anda dapat membatasi akses lebih lanjut dengan hanya menambahkan satu atau beberapa orang atau grup sebagai akun utama:

  • Semua alamat email Gmail atau Google Workspace

  • Alamat email Google Grup

  • Nama domain Google Workspace

Mengakses aplikasi

  1. Di browser Anda, buka web-site-url.

  2. Untuk memuat ulang halaman, klik Refresh .

  3. Di layar login, login dengan kredensial Google Anda.

    Halaman tersebut akan menampilkan halaman "Halo user-email-address" dengan alamat email Anda.

    Jika Anda masih melihat halaman yang sama seperti sebelumnya, mungkin ada masalah dengan browser karena tidak sepenuhnya mengupdate permintaan baru setelah Anda mengaktifkan IAP. Tutup semua jendela browser, buka kembali, dan coba lagi.

Konsep otentikasi

Ada beberapa cara agar aplikasi dapat mengautentikasi penggunanya dan membatasi akses hanya untuk pengguna yang diotorisasi. Metode autentikasi umum, yang mengalami penurunan tingkat upaya untuk aplikasi, tercantum di bagian berikut.

Opsi Kelebihan Kekurangan
Autentikasi aplikasi
  • Aplikasi dapat berjalan di platform apa pun, dengan atau tanpa koneksi internet
  • Pengguna tidak perlu menggunakan layanan lain untuk mengelola autentikasi
  • Aplikasi harus mengelola kredensial pengguna dengan aman dan melindungi dari pengungkapan
  • Aplikasi harus mempertahankan data sesi untuk pengguna yang login
  • Aplikasi harus memberikan pendaftaran pengguna, perubahan sandi, pemulihan sandi
OAuth2
  • Aplikasi dapat berjalan di platform apa pun yang terhubung ke internet, termasuk workstation developer
  • Aplikasi tidak memerlukan pendaftaran pengguna, perubahan sandi, atau fungsi pemulihan sandi.
  • Risiko pengungkapan informasi pengguna didelegasikan ke layanan lain
  • Langkah keamanan login baru yang ditangani di luar aplikasi
  • Pengguna harus mendaftar ke layanan identitas
  • Aplikasi harus mempertahankan data sesi untuk pengguna yang login
IAP
  • Aplikasi tidak perlu memiliki kode apa pun untuk mengelola pengguna, autentikasi, atau status sesi
  • Aplikasi tidak memiliki kredensial pengguna yang mungkin telah dibobol
  • Aplikasi hanya dapat berjalan di platform yang didukung oleh layanan. Secara khusus, layanan Google Cloud tertentu yang mendukung IAP, seperti App Engine.

Autentikasi yang dikelola aplikasi

Dengan metode ini, aplikasi mengelola sendiri setiap aspek autentikasi pengguna. Aplikasi harus mengelola database kredensial pengguna sendiri dan mengelola sesi pengguna. Aplikasi juga harus menyediakan fungsi untuk mengelola akun dan sandi pengguna, memeriksa kredensial pengguna, serta menerbitkan, memeriksa, dan memperbarui sesi pengguna dengan setiap login yang diautentikasi. Diagram berikut mengilustrasikan metode autentikasi yang dikelola aplikasi.

Alur pengelolaan aplikasi

Seperti yang ditunjukkan dalam diagram, setelah pengguna login, aplikasi akan membuat dan menyimpan informasi tentang sesi pengguna. Saat pengguna membuat permintaan ke aplikasi, permintaan tersebut harus menyertakan informasi sesi yang bertanggung jawab untuk diverifikasi oleh aplikasi.

Keuntungan utama dari pendekatan ini adalah bahwa pendekatan ini bersifat mandiri dan berada di bawah kontrol aplikasi. Aplikasi ini bahkan tidak perlu tersedia di internet. Kelemahan utamanya adalah aplikasi kini bertanggung jawab untuk menyediakan semua fungsi pengelolaan akun dan melindungi semua data kredensial yang sensitif.

Autentikasi eksternal dengan OAuth2

Alternatif yang baik untuk menangani semua hal dalam aplikasi adalah dengan menggunakan layanan identitas eksternal, seperti Google, yang menangani semua informasi dan fungsi akun pengguna dan bertanggung jawab untuk mengamankan kredensial sensitif. Saat pengguna mencoba login ke aplikasi, permintaan dialihkan ke layanan identitas, yang mengautentikasi pengguna, lalu mengalihkan permintaan kembali ke aplikasi dengan menyediakan informasi autentikasi yang diperlukan. Untuk informasi selengkapnya, lihat Menggunakan OAuth 2.0 untuk Aplikasi Server Web.

Diagram berikut mengilustrasikan autentikasi eksternal dengan metode OAuth2.

Alur OAuth2

Alur dalam diagram dimulai saat pengguna mengirim permintaan untuk mengakses aplikasi. Aplikasi mengalihkan browser pengguna ke platform identitas Google, yang menampilkan halaman untuk login ke Google, bukan merespons secara langsung. Setelah berhasil login, browser pengguna akan diarahkan kembali ke aplikasi. Permintaan ini menyertakan informasi yang dapat digunakan aplikasi untuk mencari informasi tentang pengguna yang telah diautentikasi, dan aplikasi akan merespons pengguna.

Metode ini memiliki banyak keuntungan untuk aplikasi. Metode ini mendelegasikan semua fungsi pengelolaan akun dan risiko ke layanan eksternal, yang dapat meningkatkan keamanan login dan akun tanpa harus mengubah aplikasi. Namun, seperti ditunjukkan dalam diagram sebelumnya, aplikasi harus memiliki akses ke internet untuk menggunakan metode ini. Aplikasi juga bertanggung jawab untuk mengelola sesi setelah pengguna diautentikasi.

Identity-Aware Proxy

Pendekatan ketiga, yang dibahas dalam tutorial ini, adalah menggunakan IAP untuk menangani semua autentikasi dan pengelolaan sesi dengan setiap perubahan pada aplikasi. IAP mencegat semua permintaan web ke aplikasi Anda, memblokir permintaan apa pun yang belum diautentikasi, dan meneruskan permintaan lainnya dengan data identitas pengguna yang ditambahkan ke setiap permintaan.

Penanganan permintaan ditampilkan dalam diagram berikut.

Alur IAP

Permintaan dari pengguna dicegat oleh IAP, yang memblokir permintaan yang tidak diautentikasi. Permintaan yang diautentikasi diteruskan ke aplikasi, selama pengguna yang diautentikasi tercantum dalam daftar pengguna yang diizinkan. Permintaan yang diteruskan melalui IAP memiliki header yang ditambahkan ke dalamnya yang mengidentifikasi pengguna yang membuat permintaan.

Aplikasi tidak perlu lagi menangani informasi sesi atau akun pengguna. Setiap operasi yang perlu mengetahui ID unik bagi pengguna bisa mendapatkannya secara langsung dari setiap permintaan web yang masuk. Namun, metode ini hanya dapat digunakan untuk layanan komputasi yang mendukung IAP, seperti App Engine dan load balancer. Anda tidak dapat menggunakan IAP pada mesin pengembangan lokal.

Pembersihan

Agar tidak perlu membayar biaya pada akun Google Cloud Anda untuk resource yang digunakan dalam tutorial ini, hapus project yang berisi resource tersebut, atau simpan project dan hapus setiap resource.

  1. Di konsol Google Cloud, buka halaman Manage resource.

    Buka Manage resource

  2. Pada daftar project, pilih project yang ingin Anda hapus, lalu klik Delete.
  3. Pada dialog, ketik project ID, lalu klik Shut down untuk menghapus project.

Langkah selanjutnya