Se l'applicazione gestisce le richieste degli utenti, è consigliabile limitare l'accesso ai soli utenti autorizzati. In genere, gli utenti non dispongono di autorizzazione IAM sul progetto Google Cloud o sul servizio Cloud Run.
Distinguiamo due tipi di utenti:
- Utenti finali: gli utenti dell'applicazione che non appartengono necessariamente alla tua organizzazione. Di solito devono registrare un account autonomamente.
- Utenti interni: gli utenti a cui è stato concesso esplicitamente l'accesso alla tua applicazione da un amministratore della tua organizzazione. In genere appartengono alla tua organizzazione.
Autenticazione degli utenti finali
Se vuoi autenticare gli utenti utilizzando email/password, numero di telefono, social provider come Google, Facebook o GitHub oppure un meccanismo di autenticazione personalizzato, puoi utilizzare Identity Platform. L'uso di Firebase Authentication è simile all'uso di Identity Platform.
Devi avere un'app web o mobile pubblica che gestisca il flusso di accesso e quindi effettui chiamate API autenticate a un servizio Cloud Run. Questa app web pubblica può essere ospitata su un servizio Cloud Run pubblico.
Per un tutorial completo sull'utilizzo di Identity Platform per l'autenticazione degli utenti finali, consulta il tutorial Autenticazione dell'utente finale per Cloud Run.
Aggiungi codice al servizio Cloud Run per verificare i token ID.
Esegui il deployment del tuo servizio Cloud Run pubblicamente.
Sul web o nell'app mobile:
- Utilizza la libreria client di Firebase Auth appropriata per ottenere un token ID:
- Android: usa il metodo
GetTokenResult().getToken(). - iOS: utilizza il metodo
User.getIDTokenResult(completion:). - Web: utilizza il metodo
firebase.User.getIdToken().
- Android: usa il metodo
- Includi il token ID in un'intestazione
Authorization: Bearer ID_TOKENdella richiesta al servizio.
- Utilizza la libreria client di Firebase Auth appropriata per ottenere un token ID:
Per accedere alle informazioni del profilo utente, puoi utilizzare uno dei seguenti metodi:
- Utilizza l'SDK Firebase Admin per effettuare una richiesta di rete finalizzata al recupero dei dati utente.
- Utilizza una libreria client delle API di Google per recuperare i dati utente utilizzando il metodo più adatto al runtime scelto.
Per una procedura dettagliata end-to-end di un'applicazione che utilizza questa tecnica di autenticazione, segui il tutorial sull'autenticazione dell'utente finale per Cloud Run.
Autenticazione degli utenti interni
Per l'autenticazione utente interna, puoi utilizzare Identity-Aware Proxy.
Per configurare Identity-Aware Proxy per un servizio Cloud Run esistente, consulta la documentazione per l'abilitazione di Identity-Aware Proxy per Cloud Run.
Per istruzioni su come autenticare gli utenti o gli account di servizio in un servizio Cloud Run protetto da Identity-Aware Proxy utilizzando OAuth 2.0, consulta la documentazione per l'autenticazione programmatica.