透過 PHP 驗證使用者

背景

此教學課程使用 IAP 對使用者進行身分驗證。這只是其中一種方法。如要進一步瞭解驗證使用者的不同方法，請參閱驗證概念一節。

Hello user-email-address 應用程式

此教學課程使用的應用程式是最小型的 Hello World App Engine 應用程式，其中有一非典型功能：顯示「Hello user-email-address」而非「Hello world」，而 user-email-address 是已驗證的使用者電子郵件地址。

之所以可提供此功能，是因為系統會檢查 IAP 每次傳遞網路要求給應用程式時新增的驗證資訊。每個傳遞至應用程式的網路要求都會新增三個新的要求標頭。前兩個是純文字字串，可以用來識別使用者身分。第三個標頭是具有相同資訊的加密簽署物件。

• X-Goog-Authenticated-User-Email：使用者的電子郵件地址可用於識別身分。如果可以，請不要讓您的應用程式儲存個人資訊。這個應用程式不會儲存任何資料，而只是回應給使用者。

• X-Goog-Authenticated-User-Id：此由 Google 指派的使用者 ID 不會顯示使用者的相關資訊，但可讓應用程式知道登入的使用者是先前有出現過的。

• X-Goog-Iap-Jwt-Assertion：您可以將 Google Cloud 應用程式設為略過 IAP，使其除了接受來自網際網路的網路要求之外，還接受來自其他雲端應用程式的網路要求。如果將應用程式如此設定，則此類要求可能會具有假造的標頭。您可以不使用先前提到的純文字標頭，改為使用並驗證這個經過加密簽署的標頭，確認資訊是由 Google 提供。這個已簽署的標頭中會包含使用者電子郵件地址和永久使用者 ID。

如果您確定已將應用程式設為僅有來自網際網路的網路要求可以與其連線，且無人能停用應用程式的 IAP 服務，則擷取不重複使用者 ID 僅需一行程式碼：

$userId = getallheaders()['X-Goog-Authenticated-User-Id'] ?? null;

但是，有彈性的應用程式可能會發生錯誤，包括非預期的設定或環境問題，因此我們建議建立一個可使用並驗證經加密簽署標頭的函式。這個標頭的簽署無法假造，驗證後即可用於傳回身分識別。

建立原始碼

1. 使用文字編輯器建立名為 index.php 的檔案，並將下列程式碼貼入其中：

   require_once __DIR__ . '/vendor/autoload.php';
   
   /**
    * Checks that the JWT assertion is valid (properly signed, for the
    * correct audience) and if so, returns strings for the requesting user's
    * email and a persistent user ID. If not valid, returns null for each field.
    *
    * @param string $idToken The JWT string to assert.
    * @param string $audience The audience of the JWT.
    *
    * @return string[] array containing [$email, $id]
    * @throws Exception on failed validation
    */
   function validate_assertion(string $idToken, string $audience) : array
   {
       $auth = new Google\Auth\AccessToken();
       $info = $auth->verify($idToken, [
         'certsLocation' => Google\Auth\AccessToken::IAP_CERT_URL,
         'throwException' => true,
       ]);
   
       if ($audience != $info['aud'] ?? '') {
           throw new Exception(sprintf(
               'Audience %s did not match expected %s', $info['aud'], $audience
           ));
       }
   
       return [$info['email'], $info['sub']];
   }
   
   /**
    * This is an example of a front controller for a flat file PHP site. Using a
    * static list provides security against URL injection by default.
    */
   switch (@parse_url($_SERVER['REQUEST_URI'])['path']) {
       case '/':
           if (!Google\Auth\Credentials\GCECredentials::onGce()) {
               throw new Exception('You must deploy to appengine to run this sample');
           }
           $metadata = new Google\Cloud\Core\Compute\Metadata();
           $audience = sprintf(
               '/projects/%s/apps/%s',
               $metadata->getNumericProjectId(),
               $metadata->getProjectId()
           );
           $idToken = getallheaders()['X-Goog-Iap-Jwt-Assertion'] ?? '';
           try {
               list($email, $id) = validate_assertion($idToken, $audience);
               printf("<h1>Hello %s</h1>", $email);
           } catch (Exception $e) {
               printf('Failed to validate assertion: %s', $e->getMessage());
           }
           break;
       case '': break; // Nothing to do, we're running our tests
       default:
           http_response_code(404);
           exit('Not Found');
   }

   本教學課程稍後的認識程式碼一節會詳加說明 index.php 檔案。

2. 建立另一個名為 composer.json 檔案，並將下列內容貼入其中：

   {
     "require": {
       "php": ">=7.1",
       "google/auth": "^1.9",
       "google/cloud-core": "^1.32",
       "kelvinmo/simplejwt": "^0.4.0"
     }
   }
   

   composer.json 檔案列出應用程式需要 App Engine 為其載入的所有 PHP 程式庫：

   • firebase/php-jwt 提供 JWT 檢查和解碼的功能。

   • guzzle/http 是 HTTP 用戶端，用於從網站擷取資料。

3. 建立名為 app.yaml 的檔案，並在其中加入下列文字：

   runtime: php73
   

   app.yaml 檔案會告知 App Engine 程式碼所需的語言環境。

瞭解程式碼

本節將說明 index.php 程式碼的運作方式。如果您只想執行該應用程式，請直接跳到部署應用程式一節。

下列程式碼位於 index.php 檔案中。當應用程式收到對首頁的 HTTP GET 要求時，會叫用 / 的 switch case：

/**
 * This is an example of a front controller for a flat file PHP site. Using a
 * static list provides security against URL injection by default.
 */
switch (@parse_url($_SERVER['REQUEST_URI'])['path']) {
    case '/':
        if (!Google\Auth\Credentials\GCECredentials::onGce()) {
            throw new Exception('You must deploy to appengine to run this sample');
        }
        $metadata = new Google\Cloud\Core\Compute\Metadata();
        $audience = sprintf(
            '/projects/%s/apps/%s',
            $metadata->getNumericProjectId(),
            $metadata->getProjectId()
        );
        $idToken = getallheaders()['X-Goog-Iap-Jwt-Assertion'] ?? '';
        try {
            list($email, $id) = validate_assertion($idToken, $audience);
            printf("<h1>Hello %s</h1>", $email);
        } catch (Exception $e) {
            printf('Failed to validate assertion: %s', $e->getMessage());
        }
        break;
    case '': break; // Nothing to do, we're running our tests
    default:
        http_response_code(404);
        exit('Not Found');
}

switch 陳述式會取得 IAP 從傳入要求中加入的 JWT 斷言標頭值，並呼叫函式以驗證經加密簽署的值。接下來，函式會在其所建立並傳回的最小網頁中使用傳回的第一個值 (電子郵件)。

/**
 * Checks that the JWT assertion is valid (properly signed, for the
 * correct audience) and if so, returns strings for the requesting user's
 * email and a persistent user ID. If not valid, returns null for each field.
 *
 * @param string $idToken The JWT string to assert.
 * @param string $audience The audience of the JWT.
 *
 * @return string[] array containing [$email, $id]
 * @throws Exception on failed validation
 */
function validate_assertion(string $idToken, string $audience) : array
{
    $auth = new Google\Auth\AccessToken();
    $info = $auth->verify($idToken, [
      'certsLocation' => Google\Auth\AccessToken::IAP_CERT_URL,
      'throwException' => true,
    ]);

    if ($audience != $info['aud'] ?? '') {
        throw new Exception(sprintf(
            'Audience %s did not match expected %s', $info['aud'], $audience
        ));
    }

    return [$info['email'], $info['sub']];
}

validate_assertion 函式會使用 google/auth 程式庫驗證斷言是否正確簽署，並從斷言中擷取酬載資訊。如果無法解碼斷言，函式會擲回例外狀況。如果成功，函式會傳回已驗證的使用者電子郵件地址，以及該使用者的永久專屬 ID。

如要驗證 JWT 斷言，您必須知道簽署斷言的實體 (在此為 Google) 的公開金鑰憑證，以及斷言的目標對象。對於 App Engine 應用程式而言，目標對象是包含 Google Cloud 專案識別資訊的字串。此函式會從其先前的函式中取得憑證和目標對象字串。

$metadata = new Google\Cloud\Core\Compute\Metadata();
$audience = sprintf(
    '/projects/%s/apps/%s',
    $metadata->getNumericProjectId(),
    $metadata->getProjectId()
);

您可以自行查詢 Google Cloud 專案的數字 ID 和名稱，並在原始碼中加入這些資訊，但 audience 函式也能為您代勞，方法是查詢每個 App Engine 應用程式可用的標準中繼資料服務。

App Engine 中繼資料服務 (以及其他Google Cloud 運算服務中類似的中繼資料服務) 外觀如同網站，可透過標準網路查詢進行查詢。不過此中繼資料服務實際上不是外部網站，而是內部功能。此功能可傳回與執行中應用程式相關的所需資訊，因此您可以安全地使用 http 而不須使用 https 要求。此服務可用於取得目前所需的 Google Cloud ID，藉此定義 JWT 斷言的目標對象。

部署應用程式

現在您可以部署應用程式，然後啟用 IAP，要求使用者必須經過驗證才能存取應用程式。

1. 在終端機視窗中，前往包含 app.yaml 檔案的目錄，然後將應用程式部署至 App Engine：

   gcloud app deploy
   

2. 請在系統提示時選取附近的地區。

3. 當系統詢問您是否要繼續進行部署作業時，請輸入 Y。

   您的應用程式在幾分鐘內即會上線。

4. 查看應用程式：

   gcloud app browse
   

   在輸出中，複製 web-site-url (應用程式的網址)。

5. 在瀏覽器視窗中，貼上 web-site-url 即可開啟應用程式。

   由於您尚未使用 IAP，因此系統不會顯示任何電子郵件，也不會傳送任何使用者資訊給應用程式。

啟用 IAP

現在有了 App Engine 執行個體，您可以使用 IAP 進行保護：

1. 前往 Google Cloud 控制台的「Identity-Aware Proxy」頁面。

   前往「Identity-Aware Proxy」頁面

2. 由於這是您第一次為這項專案啟用驗證選項，因此系統會顯示一則訊息，說明您必須先設定 OAuth 同意畫面，才能使用 IAP。

   按一下 [Configure consent screen] (設定同意畫面)。

3. 在「Credentials」(憑證) 頁面的「OAuth Consent Screen」(OAuth 同意畫面) 分頁中，填寫下列欄位：

   • 如果帳戶屬於 Google Workspace 機構，請選取「外部」並按一下「建立」。一開始，只有您明確允許的使用者才能存取應用程式。

   • 在「Application name」(應用程式名稱) 欄位中，輸入 IAP Example。

   • 在「Support email」(支援電子郵件) 欄位中，輸入您的電子郵件地址。

   • 在「Authorized domain」(授權網域) 欄位中，輸入應用程式網址的主機名稱部分，例如 iap-example-999999.uc.r.appspot.com。在欄位中輸入主機名稱後，按下 Enter 鍵。

   • 在「Application homepage link」(應用程式首頁連結) 欄位中，輸入應用程式的網址，例如 https://iap-example-999999.uc.r.appspot.com/。

   • 在「Application privacy policy line」(應用程式隱私權政策行) 欄位中，使用與首頁連結相同的網址進行測試。

4. 按一下 [Save] (儲存)，在系統提示您建立憑證時，您可以關閉視窗。

5. 前往 Google Cloud 控制台的「Identity-Aware Proxy」頁面。

   前往「Identity-Aware Proxy」頁面

6. 如要重新整理頁面，請按一下「重新整理」圖示 refresh。該頁面會列出您可以保護的資源。

7. 在「IAP」資料欄中，按一下以開啟應用程式的 IAP。

8. 在瀏覽器中，再次前往 web-site-url。

9. 除了網頁外，您也可以透過登入畫面來驗證自己的身分。當您登入時，由於 IAP 未具備允許進入應用程式的使用者清單，因此系統會拒絕您的存取。

將已獲授權的使用者加入應用程式

1. 前往 Google Cloud 控制台的「Identity-Aware Proxy」頁面。

   前往「Identity-Aware Proxy」頁面

2. 勾選 App Engine 應用程式的核取方塊，然後按一下「新增主體」。

3. 輸入 allAuthenticatedUsers，然後選取 [Cloud IAP/IAP-Secured Web App User] (受 Cloud IAP/IAP 保護的網路應用程式使用者) 角色。

4. 按一下 [儲存]。

從現在起，只要是 Google 可以驗證的使用者都可以存取該應用程式。如有需要，您可以透過僅新增一或多位人員或群組為主體，藉此進一步限制存取權：

• 任何 Gmail 或 Google Workspace 電子郵件地址

• Google 網路論壇電子郵件地址

• Google Workspace 網域名稱

存取應用程式

1. 透過瀏覽器前往 web-site-url：

2. 如要重新整理頁面，請按一下「重新整理」圖示 refresh。

3. 請在登入畫面中，使用您的 Google 憑證登入。

   網頁上會顯示包含您電子郵件地址的「Hello user-email-address」網頁。

   若您看到的網頁沒有變化，則可能是您啟用 IAP 後，瀏覽器尚未將新的要求完全更新。請關閉所有的瀏覽器視窗後重新開啟，然後再試一次。

驗證概念

應用程式可透過多種方式驗證使用者的身分，並限制僅已獲授權的使用者可擁有存取權。以下各節列出了常見的驗證方法，可用於降低應用程式的工作量。

應用程式管理的驗證

透過此方法，應用程式可自行管理使用者驗證的各個環節。應用程式必須維護自己的使用者憑證資料庫並管理使用者工作階段，此外還需提供下列功能：管理使用者帳戶和密碼、檢查使用者憑證，以及對每個經過驗證的登入發出、檢查和更新使用者工作階段。下圖說明應用程式管理的驗證方法。

如圖所示，使用者登入後，應用程式會建立並維護有關使用者工作階段的資訊。當使用者向應用程式發出要求時，該要求必須包含應用程式負責驗證的工作階段資訊。

此方法的主要優點在於其獨立性，以及受到應用程式的控管，且應用程式甚至不需在網際網路中提供。主要的缺點則是如此一來，便是由應用程式負責提供所有的帳戶管理功能，以及負責保護所有敏感的憑證資料。

使用 OAuth2 進行外部驗證

如果不想在應用程式中處理一切，可選擇的替代方案是使用 Google 或其他供應商提供的外部識別服務，來處理使用者帳戶的所有資訊和功能，並保護敏感憑證。使用者嘗試登入應用程式時，系統會將要求重新導向至身分服務，由該服務對使用者進行驗證，然後在取得必要的驗證資訊後，將要求重新導向回應用程式。詳情請參閱「使用 OAuth 2.0 處理網路伺服器應用程式」。

下圖說明使用 OAuth2 方法進行的外部驗證。

圖表中的流程在使用者傳送存取應用程式的要求時開始。應用程式不會直接回應，而是將使用者的瀏覽器重新導向至 Google 身分平台，該平台會顯示登入 Google 的網頁。成功登入後，使用者的瀏覽器會導向回應用程式。要求中會包含所需資訊，讓應用程式可針對已完成驗證的使用者查詢相關資訊，並對該使用者發出回應。

這個方法對於應用程式有許多好處，可將所有帳戶管理功能和風險委派給外部服務，如此便可在不變更應用程式的情況下，改善登入和帳戶安全性。不過，如上圖所示，應用程式必須具備網際網路存取權才能使用這個方法。在驗證過使用者的身分後，應用程式也需負責管理工作階段。

Identity-Aware Proxy

本教學課程提供的第三種方法是使用 IAP 來處理應用程式發生變更時的所有驗證和工作階段管理。IAP 可攔截傳送至您應用程式的所有網路要求、封鎖任何尚未驗證的網路要求，並讓已加入使用者身分資料的要求通過。

要求的處理方式如下圖所示。

所有使用者的要求會遭到 IAP 攔截，因而能阻止未經驗證的要求。已驗證的要求則會傳送至應用程式，前提是已驗證的使用者名列允許的使用者清單之中。透過 IAP 傳送的要求會加入標頭，以用於識別提出要求的使用者。

應用程式不再需要處理任何使用者帳戶或工作階段資訊。任何需要使用者唯一識別碼的作業都可直接從每次傳入的網路要求中取得該資訊。不過此流程僅限用於支援 IAP 的運算服務，例如 App Engine 和負載平衡器。您不能在本機開發裝置上使用 IAP。