使用 Firebase 驗證使用者

本頁說明如何在 Cloud Endpoints 中支援使用者驗證。

如要驗證使用者,用戶端應用程式必須在傳送至後端 API 的 HTTP 要求授權標頭中,傳送 JSON Web Token (JWT)可擴充服務 Proxy (ESP) 會代表 API 驗證權杖,因此您不必在 API 中新增任何程式碼來處理驗證。不過,您必須設定 OpenAPI 文件,才能支援所選的驗證方法。

ESP 會使用 JWT 簽發者的公開金鑰,以高效能方式驗證 JWT。ESP 會快取公開金鑰五分鐘。此外,ESP 會將驗證過的 JWT 快取五分鐘,或直到 JWT 過期為止 (以先到者為準)。

事前準備

  • 請按照 Firebase 驗證說明文件,將驗證程式碼新增至用戶端應用程式。Firebase 支援使用密碼、電話號碼,以及 Google、Facebook 和 Twitter 等熱門聯合身分識別供應商進行驗證。

  • 用戶端應用程式傳送 HTTP 要求時,要求中的授權標頭必須包含下列 JWT 聲明:
    • iss (發行者)
    • sub (主旨)
    • aud (目標對象)
    • iat (發行時間)
    • exp (到期時間)

設定 OpenAPI 文件

在您的 OpenAPI 文件中必須擁有安全性需求物件安全性定義物件,讓 ESP 能夠驗證已簽署 JWT 中的憑證附加資訊。

如何支援 Firebase 驗證:

OpenAPI 2.0

  1. 在 OpenAPI 規格中新增下列項目:
    securityDefinitions:
   firebase:
      authorizationUrl: ""
      flow: "implicit"
      type: "oauth2"
      # Replace PROJECT_ID with your project ID
      x-google-issuer: "https://securetoken.google.com/PROJECT_ID"
      x-google-jwks_uri: "https://www.googleapis.com/service_accounts/v1/metadata/x509/securetoken@system.gserviceaccount.com"
      x-google-audiences: "PROJECT_ID"
  2. 在 API 層級新增安全性區段,並套用至整個 API,或是在方法層級套用至特定方法。
    security:
   -   firebase: []

OpenAPI 3.x

  1. 在 OpenAPI 規格中新增下列項目:
    components:
  securitySchemes:
    firebase:
      type: oauth2
      flows:
       implicit:
         authorizationUrl: ""
         scopes: {}
      x-google-auth:
        # Replace PROJECT_ID with your project ID
        issuer: https://securetoken.google.com/PROJECT_ID
        jwksUri: https://www.googleapis.com/service_accounts/v1/metadata/x509/securetoken@system.gserviceaccount.com
        audiences:
          - PROJECT_ID
  2. 在 API 層級新增安全性區段,並套用至整個 API,或是在方法層級套用至特定方法。
    security:
  - firebase: []

您可以在 OpenAPI 文件中定義多項安全定義,但每項定義必須要有不同的核發者。如果您在 API 層級和方法層級使用安全性區段,方法層級的設定就會覆寫 API 層級的設定。

您也可以新增 x-google 擴充功能,自訂 JWT 位置。詳情請參閱 OpenAPI 2.0 擴充功能 OpenAPI 3.x 擴充功能

讓身分認證呼叫 Endpoints API

使用驗證權杖傳送要求時,基於安全考量,建議您將權杖放入 Authorization:Bearer 標頭。例如:

curl -H "Authorization: Bearer <var>TOKEN</var>" "<var>ENDPOINTS_HOST</var>/echo"

請在此將 ENDPOINTS_HOSTTOKEN 變數分別替換為 API 主機名稱和驗證權杖。如需使用 Authorization:Bearer 標頭傳送要求的範例程式碼,請參閱「向 Endpoints API 發出經過驗證的要求」。

如果您無法在傳送要求時使用標頭,可將驗證憑證放入查詢參數中,名為 access_token。例如:

curl "<var>ENDPOINTS_HOST</var>/echo?access_token=<var>TOKEN</var>"

在 API 中接收驗證結果

ESP 通常會轉發所有接收到的標頭。不過,如果後端位址是由 OpenAPI 規格中的 x-google-backend 或 gRPC 服務設定中的 BackendRule 指定,系統就會覆寫原始的 Authorization 標頭。

ESP 會將 X-Endpoint-API-UserInfo 中的驗證結果傳送至後端 API。建議您使用這個標頭,取代原始的 Authorization 標頭。這個標頭是字串,會 base64url 編碼 JSON 物件。ESPv2 和 ESP 的 JSON 物件格式不同。 如果是 ESPv2,JSON 物件就是原始 JWT 酬載。如果是 ESP,JSON 物件會使用不同的欄位名稱,並將原始 JWT 酬載放在 claims 欄位下。如要進一步瞭解格式,請參閱「在後端服務中處理 JWT」。

後續步驟