בדף הזה מוסבר איך להשתמש בפרמטרים של שאילתות ובכותרות של Identity-Aware Proxy (IAP) כדי לשפר את ממשק המשתמש של האפליקציה או לספק אפשרויות לפתרון בעיות.
פרמטרים של שאילתה
אפשר לבצע פעולות שונות על ידי הגדרת הפרמטר gcp-iap-mode במחרוזת השאילתה של כתובת ה-URL.
אפשר לכלול את הפרמטרים האלה של שאילתה בכל נתיב, ולא רק בכתובת ה-URL הבסיסית.
העברת זהות המשתמש
העברת ערך הפרמטר הבא מחזירה מילון JSON עם זהות המשתמש:
YOUR_APP_URL?gcp-iap-mode=IDENTITY
האפשרות הזו זמינה מכל חשבון Google שמחוברים אליו, גם אם אין לחשבון גישה לאפליקציה. אפשר לעבור ישירות לכתובת ה-URL או להפנות אליה כדי לשלוח בקשות לכתובת ה-URL. זו דוגמה לערך שמוחזר על ידי כתובת ה-URL:
{"email":"accounts.google.com:USER_EMAIL","sub":"accounts.google.com:118133858486581853996"}
הערך הזה יכול להיות שימושי להתאמה אישית של האפליקציה, למשל להצגת השם של המשתמש, להעברת פרטי הזהות לדף אחר או לתיעוד נתוני השימוש ביומנים.
ניקוי של התחברות משתמש
ערך הפרמטר הבא מוחק את קובץ ה-Cookie של ההתחברות ל-IAP:
YOUR_APP_URL?gcp-iap-mode=CLEAR_LOGIN_COOKIE
העברת הפרמטר הזה מנקה את כל קובצי ה-Cookie שהונפקו על ידי IAP עבור האפליקציה שלכם, ומעבירה את הדפדפן אל YOUR_APP_URL. אם בדפדפן יש פעילות תקפה עם ספק הזהויות (IdP) של האפליקציה, יכול להיות שתתבצע כניסה שקטה אם משתמשים רק בחשבון אחד עם ספק הזהויות. אם יש כמה חשבונות בשימוש, ייפתח דף לבחירת חשבון כדי לאפשר מעבר בין פרופילים.
בדיקת אימות של JWT
IAP עוזר לכם לבדוק את הלוגיקה של אימות ה-JWT על ידי העברת JWT לא תקינים לדפי אינטרנט לבדיקה.
לדוגמה, IAP מעביר JWT עם חתימה לא חוקית לכל בקשה שמכילה את פרמטרים של שאילתה gcp-iap-mode=SECURE_TOKEN_TEST ו-iap-secure-token-test-type=SIGNATURE.
הלוגיקה של האימות צריכה לזהות את החתימה הלא חוקית.
כדי לבדוק את לוגיקת האימות שלכם מול אחד מהתרחישים הבאים, צריך לצרף את הפרמטרים המתאימים לבקשה.
| פרמטרים | מקרה בדיקה |
|---|---|
| ?gcp-iap-mode=SECURE_TOKEN_TEST&iap-secure-token-test-type=NOT_SET | JWT תקין. |
| ?gcp-iap-mode=SECURE_TOKEN_TEST&iap-secure-token-test-type=FUTURE_ISSUE | תאריך ההנפקה מוגדר לעתיד. |
| ?gcp-iap-mode=SECURE_TOKEN_TEST&iap-secure-token-test-type=PAST_EXPIRATION | תאריך התפוגה מוגדר בעבר. |
| ?gcp-iap-mode=SECURE_TOKEN_TEST&iap-secure-token-test-type=ISSUER | המוסד המנפיק שגוי. |
| ?gcp-iap-mode=SECURE_TOKEN_TEST&iap-secure-token-test-type=AUDIENCE | קהל לא נכון. |
| ?gcp-iap-mode=SECURE_TOKEN_TEST&iap-secure-token-test-type=SIGNATURE | החתימה בוצעה באמצעות חותם שגוי. |
כותרות מיוחדות
זיהוי תגובות מ-IAP
כש-IAP יוצר תגובת HTTP, למשל כשהוא דוחה גישה (403) או מבקש אימות (302 או 401), הוא מוסיף את כותרת תגובת ה-HTTP X-Goog-IAP-Generated-Response. באמצעות זיהוי הנוכחות של הכותרת הזו, אפשר לבצע פעולות כמו:
להבחין בין הודעות שגיאה שנוצרו על ידי IAP לבין הודעות שגיאה שנוצרו על ידי האפליקציה.
זיהוי המקרים שבהם צריך להוסיף פרטי כניסה של IAP לבקשה.