Utiliser JWT pour authentifier les utilisateurs
Cette page explique comment permettre l'authentification des utilisateurs dans API Gateway.
Pour authentifier un utilisateur, une application cliente doit envoyer un jeton Web JSON (JWT) dans l'en-tête d'autorisation de la requête HTTP envoyée à votre API backend. API Gateway valide le jeton pour le compte de votre API. Vous n'avez donc pas besoin d'ajouter de code pour traiter l'authentification. Cependant, vous devez configurer la configuration de l'API pour que votre passerelle soit compatible avec les méthodes d'authentification que vous avez choisies.
API Gateway valide un jeton JWT de manière optimale à l'aide du jeu de clés Web JSON (JWKS) de l'émetteur de jetons JWT. L'emplacement du JWKS est spécifié dans la configuration de l'API de la passerelle. API Gateway met en cache le JWKS pendant cinq minutes et l'actualise toutes les cinq minutes.
Avant de commencer
- Ajoutez un code d'authentification à l'application cliente en suivant la documentation du fournisseur d'authentification.
-
Lorsqu'une application cliente envoie une requête HTTP, l'en-tête d'autorisation
de la requête doit contenir les revendications suivantes :
iss(émetteur)sub(objet)aud(cible)iat(date/heure d'émission)exp(date/heure d'expiration)
Configurer API Gateway pour l'authentification client
Vous devez disposer d'une section de sécurité dans la configuration de votre API pour qu'API Gateway valide les revendications dans le jeton JWT signé. Le schéma utilisé pour définir les méthodes de sécurité dépend de la version de la spécification OpenAPI que vous utilisez.
Pour l'authentification JWT :
OpenAPI 2.0
- Ajoutez les éléments suivants à votre configuration d'API :
securityDefinitions: your_custom_auth_id: authorizationUrl: "" flow: "implicit" type: "oauth2" # The issuer value should be unique x-google-issuer: "ISSUER" x-google-jwks_uri: "URL_PUBLIC_KEY" # Optional. x-google-audiences: "CLIENT_ID"
Où :
- ISSUER est l'émetteur du jeton.
- URL_PUBLIC_KEY est l'URL de la clé publique.
- CLIENT_ID est l'ID client.
- Ajoutez une section de sécurité au niveau de l'API pour une application à l'ensemble de l'API, ou au niveau de la méthode pour une application à une méthode spécifique.
security: - your_custom_auth_id: []
OpenAPI 3.x
- Ajoutez les éléments suivants à votre configuration d'API :
components: securitySchemes: SCHEME_NAME: type: oauth2 flows: implicit: authorizationUrl: "" scopes: {} x-google-auth: issuer: ISSUER jwksUri: URL_PUBLIC_KEY # Optional. Replace CLIENT_ID with your client ID(s) as a list of strings. audiences: - CLIENT_ID jwtLocations: - header: Authorization valuePrefix: "Bearer "
Où :
- ISSUER est l'émetteur du jeton.
- URL_PUBLIC_KEY est l'URL de la clé publique.
- CLLIENT_ID est une liste d'ID client sous forme de chaînes.
- Ajoutez une section de sécurité au niveau de l'API pour une application à l'ensemble de l'API, ou au niveau de la méthode pour une application à une méthode spécifique.
security: - SCHEME_NAME: []
Vous pouvez établir plusieurs définitions de sécurité dans la configuration d'API, mais l'émetteur doit être différent pour chaque définition. Notez que, si vous utilisez des sections de sécurité au niveau de l'API et au niveau de la méthode, les paramètres au niveau de l'API seront ignorés.
Les champs x-google-audiences (OpenAPI 2.0) ou audiences (OpenAPI 3.x) ne sont pas obligatoires. API Gateway accepte tous les jetons JWT avec le nom du service de backend sous la forme https://SERVICE_NAME dans la revendication aud.
Pour autoriser des ID clients supplémentaires à accéder au service de backend, vous pouvez spécifier les ID clients autorisés dans le champ audiences applicable. Plusieurs audiences sont spécifiées sous forme de valeurs séparées par une virgule dans OpenAPI 2.0 et sous forme de liste dans OpenAPI 3.x. API Gateway accepte ensuite les jetons JWT comportant dans la revendication aud les ID clients spécifiés.
Le champ x-google-jwks_uri (OpenAPI 2.0) ou jwksUri (OpenAPI 3.x) est obligatoire.
API Gateway accepte deux formats de clé publique asymétrique définis par cette extension OpenAPI :
-
Le format prédéterminé JWK
Exemple :
OpenAPI 2.0
x-google-jwks_uri: "https://YOUR_ACCOUNT_NAME.YOUR_AUTH_PROVIDER_URL/.well-known/jwks.json"
OpenAPI 3.x
jwksUri: "https://YOUR_ACCOUNT_NAME.YOUR_AUTH_PROVIDER_URL/.well-known/jwks.json"
-
X509. Exemple :
OpenAPI 2.0
x-google-jwks_uri: "https://www.googleapis.com/service_accounts/v1/metadata/x509/securetoken@system.gserviceaccount.com"
OpenAPI 3.x
jwksUri: "https://www.googleapis.com/service_accounts/v1/metadata/x509/securetoken@system.gserviceaccount.com"
Si vous utilisez un format de clé symétrique, définissez x-google-jwks_uri (OpenAPI 2.0) ou jwksUri (OpenAPI 3.x) sur l'URI d'un fichier contenant la chaîne de clé encodée en base64url.
Effectuer un appel authentifié à une API API Gateway
Lorsque vous envoyez une requête à l'aide d'un jeton d'authentification, nous vous recommandons de placer ce jeton dans l'en-tête Authorization:Bearer. Exemple :
curl -H "Authorization: Bearer TOKEN" "GATEWAY_URL/hello"
Ici, GATEWAY_URL et TOKEN doivent être remplacés respectivement par l'URL de la passerelle déployée et le jeton d'authentification. Consultez la section Effectuer une requête authentifiée à une API API Gateway pour obtenir un exemple de code qui envoie une requête à l'aide de l'en-tête Authorization:Bearer.
Si vous ne pouvez pas utiliser l'en-tête lors de l'envoi de la requête, vous pouvez placer le jeton d'authentification dans un paramètre de requête appelé access_token. Exemple :
curl "GATEWAY_URL/hello?access_token=TOKEN"Recevoir les résultats authentifiés dans votre API
API Gateway transfère généralement tous les en-têtes reçus. Cependant, il remplace l'en-tête Authorization d'origine lorsque l'adresse de backend est spécifiée par x-google-backend dans la configuration de l'API.
API Gateway envoie le résultat de l'authentification dans le champ X-Apigateway-Api-Userinfo à l'API backend. Il est recommandé d'utiliser cet en-tête à la place de l'en-tête Authorization d'origine. Cet en-tête est encodé en base64url et contient la charge utile JWT.