En esta página se describe cómo permitir que tu API admita la autenticación de usuarios desde aplicaciones cliente mediante el uso de Cloud Endpoints Frameworks. Ten en cuenta que los clientes de Android y JavaScript son compatibles.
Endpoints Frameworks admite la autenticación de usuarios desde aplicaciones cliente que usen cualquiera de las siguientes metodologías:
Sin importar qué método de autenticación uses, en cada método API en el que desees comprobar la autenticación correcta debes buscar un User
válido, como se describe en las secciones que aparecen a continuación:
- Cómo autenticar con Firebase Auth
- Cómo autenticar con Auth0
- Cómo autenticar con tokens de ID de Google
Requisitos previos
En esta página, se supone que ya:
Se creó un proyecto de Google Cloud.
- Si usas JWT en tu cliente para enviar solicitudes autenticadas a la API, el JWT debe estar en el encabezado de autorización de una solicitud HTTP. El JWT debe tener las siguientes reclamaciones obligatorias:
-
iss
-
sub
-
aud
-
iat
-
exp
-
Cómo autenticar con Firebase Auth
Para admitir llamadas de clientes que usan Firebase Auth:
Importa la API de Cloud Endpoints de App Engine en tu clase de API:
import endpoints
Agrega un objeto emisor de Firebase para cada cliente en el decorador de API. Por ejemplo:
@endpoints.api( name='YOUR_API_NAME', version='VERSION_NUMBER', issuers={'firebase': endpoints.Issuer( 'https://securetoken.google.com/YOUR_PROJECT_ID, 'https://www.googleapis.com/service_accounts/v1/metadata/x509/securetoken@system.gserviceaccount.com')})
- Reemplaza
YOUR_API_NAME
por el nombre de tu API. - Reemplaza
VERSION_NUMBER
con la versión de tu API, por ejemplo,v1
. - Reemplaza el código>YOUR_PROJECT_ID con el ID del proyecto de Google Cloud del cliente.
- Reemplaza
En cada método de API en el que quieras verificar la autenticación correcta, comprueba si hay un
User
válido y genera unerror 401
si no hay ninguno, como se muestra en esta definición del método de muestra:user = endpoints.get_current_user() # If there's no user defined, the request was unauthenticated, so we # raise 401 Unauthorized.
Implementa la API de Endpoints. Cada vez que agregues clientes nuevos, tienes que volver a implementar la API de Endpoints.
Agrega la autenticación de Firebase a un cliente
Puedes agregar la autenticación de Firebase a tu código como se explica en la documentación de Firebase. El cliente debe tener un proyecto de Google Cloud asociado, y el ID del proyecto debe aparecer en la configuración del emisor de Firebase de la API.
Cómo autenticar con Auth0
Para admitir llamadas de clientes que usan Auth0, sigue estos pasos:
Importa la API de App Engine para Cloud Endpoints en tu clase de API:
import endpoints
Agrega un objeto de entidad emisora de Auth0 para cada cliente en el decorador de API. Por ejemplo:
@endpoints.api( name='YOUR_API_NAME', version='VERSION_NUMBER', issuers={'auth0': endpoints.Issuer( 'https://YOUR_ACCOUNT_NAME.auth0.com', 'https://YOUR_ACCOUNT_NAME.auth0.com/.well-known/jwks.json')})
- Reemplaza
YOUR_API_NAME
por el nombre de tu API. - Reemplaza
VERSION_NUMBER
con la versión de tu API, por ejemplo,v1
. - Reemplaza
YOUR_ACCOUNT_NAME
con el nombre de cuenta de Auth0 que se usa para el cliente.
- Reemplaza
En cada método de API en el que quieras verificar la autenticación correcta, comprueba si hay un
User
válido y genera unerror 401
si no hay ninguno, como se muestra en esta definición del método de muestra:user = endpoints.get_current_user() # If there's no user defined, the request was unauthenticated, so we # raise 401 Unauthorized.
Implementa la API. Cada vez que agregues clientes nuevos, tienes que volver a implementar la API de Endpoints.
Agrega la autenticación de Auth0 a un cliente
Puedes agregar la autenticación de Auth0 a tu código como se explica en la documentación de Auth0. El cliente debe aparecer en la configuración del emisor de Auth0 de la API.
Cómo autenticar con tokens de ID de Google
Para admitir llamadas de clientes que usan tokens de ID de Google, sigue estos pasos:
Obtén un ID de cliente de OAuth 2 para cada aplicación cliente. El propietario de la aplicación cliente debe generar el ID de cliente a partir de la consola de Google Cloud. Para obtener instrucciones, consulta la sección sobre cómo crear varios ID de cliente.
Importa la API de App Engine para Cloud Endpoints en tu clase de API:
import endpoints
Especifica todos los ID de cliente a los que deseas otorgar acceso a tu API en
allowed_client_ids
y los ID de cliente que pertenecen a clientes de Android en el campoaudiences
en el decorador de API. Por ejemplo:@endpoints.api( name='YOUR_API_NAME', version='VERSION_NUMBER', allowed_client_ids=ALLOWED_CLIENT_IDS, audiences=[ANDROID_AUDIENCE]) class AuthedGreetingApi(remote.Service): # ...
Reemplaza
ALLOWED_CLIENT_IDS
por la lista de ID del cliente de OAuth 2 generados a partir del proyecto de cada cliente y reemplazaANDROID_AUDIENCE
por la lista de ID web de Android. El ID de cliente web es el ID de cliente con.apps.googleusercontent.com
anexado, por ejemplo:YOUR_CLIENT_ID.apps.googleusercontent.com
.En cada método de API en el que quieras verificar la autenticación correcta, comprueba si hay un
User
válido y genera unerror 401
si no hay ninguno, como se muestra en esta definición del método de muestra:user = endpoints.get_current_user() # If there's no user defined, the request was unauthenticated, so we # raise 401 Unauthorized.
Implementa la API de Endpoints. Cada vez que agregues clientes nuevos, tienes que volver a implementar la API de Endpoints.
Cómo agregar la autenticación de token de ID de Google a un cliente
Para obtener información sobre cómo agregar código de autenticación a los clientes, consulta lo siguiente:
¿Qué sigue?
Para obtener más información sobre la autenticación de usuarios y cómo difiere de la autorización de clave de API, consulta Cuándo y por qué usar claves de API.