Autenticação com uma conta de serviço

Pré-requisitos

Esta página pressupõe que já:

A configurar a autenticação

Para autenticar com uma conta de serviço:

  1. Adicione o seguinte à anotação de @Api ou método:

    • Adicione um parâmetro authenticators à anotação, definido com o valor {EspAuthenticator.class}.
    • Adicione um parâmetro issuers que contenha um @ApiIssuer.
    • Adicione um parâmetro issuerAudiences que contenha um @ApiIssuerAudience definido para o emissor da conta de serviço e o seu público-alvo.

    Por exemplo:

    @Api(
    name = "echo",
    version = "v1",
    authenticators = {EspAuthenticator.class},
    issuers = {
        @ApiIssuer(
            name = "serviceAccount",
            issuer = "YOUR_SERVICE_ACCOUNT_EMAIL",
            jwksUri = "https://www.googleapis.com/robot/v1/metadata/x509/YOUR_SERVICE_ACCOUNT_EMAIL")
    },
    issuerAudiences = {
        @ApiIssuerAudience(name = "serviceAccount", audiences = "YOUR_AUDIENCE")
    })
    • Substitua echo pelo nome da sua API.
    • Substitua v1 pela versão da API.
    • Substitua YOUR_SERVICE_ACCOUNT_EMAIL pelo email da sua conta de serviço.
    • Substitua YOUR_AUDIENCE pelo valor no campo aud enviado pelo serviço de chamadas.

  2. No código de implementação da API, importe Users:

    import com.google.api.server.spi.auth.common.User;

  3. Em cada método da API onde quer verificar a autenticação adequada, verifique se existe um User válido e lance uma exceção se não existir, conforme mostrado nesta definição de método de exemplo:

    @ApiMethod(httpMethod = ApiMethod.HttpMethod.GET)
public Email getUserEmail(User user) throws UnauthorizedException {
  if (user == null) {
    throw new UnauthorizedException("Invalid credentials");
  }

  Email response = new Email();
  response.setEmail(user.getEmail());
  return response;
}

  4. Implemente a API. Tem de voltar a implementar a API sempre que adicionar novos clientes.