Questa pagina illustra i tipi di token utilizzati per l'autenticazione nelle API di Google, nei servizi Google Cloud e nei servizi creati dal cliente ospitati su Google Cloud.
Se accedi alle API e ai servizi Google utilizzando una libreria client, puoi configurare le credenziali predefinite dell'applicazione e la libreria client gestirà i token per te. Questo è l'approccio consigliato.
Cosa sono i token
Per l'autenticazione e l'autorizzazione, un token è un oggetto digitale contenente informazioni sull'identità dell'entità che effettua la richiesta e il tipo di accesso per cui sono autorizzati. Nella maggior parte dei flussi di autenticazione, l'applicazione (o una libreria utilizzata dall'applicazione) scambia una credenziali per un token, che determina le risorse autorizzate ad accedere all'applicazione.
Tipi di token
Vengono utilizzati diversi tipi di token in ambienti diversi. In questa pagina sono descritti i seguenti tipi di token:
In questa pagina non vengono trattate le chiavi API o gli ID client, che sono considerati credenziali.Token di accesso
I token di accesso sono token opachi conformi al framework OAuth 2.0. Contengono informazioni sull'autorizzazione, ma non sull'identità. Vengono usate per autenticare e fornire informazioni sull'autorizzazione alle API di Google.
Se utilizzi le credenziali predefinite dell'applicazione (ADC) e le librerie client di Cloud o delle librerie client delle API di Google, non è necessario gestire i token di accesso; le librerie recuperano automaticamente la credenziale, la scambiano con un token di accesso e, se necessario, aggiornano il token di accesso.
Accedi ai contenuti dei token
I token di accesso sono opachi, ovvero in un formato proprietario; le applicazioni non possono ispezionarli.
Puoi ottenere le informazioni da un token di accesso valido (non scaduto o revocato) utilizzando l'endpoint tokeninfo OAuth 2.0 di Google.
Sostituisci ACCESS_TOKEN con il token di accesso valido e non scaduto.
curl "http://oauth2.googleapis.com/tokeninfo?access_token=ACCESS_TOKEN"
Questo comando restituisce qualcosa di simile al seguente esempio:
{
"azp": "32553540559.apps.googleusercontent.com",
"aud": "32553540559.apps.googleusercontent.com",
"sub": "111260650121245072906",
"scope": "openid http://www.googleapis.com/auth/userinfo.email http://www.googleapis.com/auth/cloud-platform http://www.googleapis.com/auth/accounts.reauth",
"exp": "1650056632",
"expires_in": "3488",
"email": "[email protected]",
"email_verified": "true"
}
Nella tabella seguente sono elencati i campi più importanti da comprendere:
| Campo | Descrizione |
|---|---|
azp |
L'ID progetto, email o account di servizio dell'applicazione che ha richiesto il token. Questo valore viene incluso solo se
http://www.googleapis.com/auth/userinfo.email è
specificato nell'elenco degli ambiti.
|
scope |
Gli ambiti OAuth che sono stati aggiunti a questo token di accesso. Per
i servizi Google Cloud, si consiglia di utilizzare l'ambito
http://www.googleapis.com/auth/cloud-platform
, che include tutte le API Google Cloud, insieme a
Identity and Access Management (IAM),
che fornisce un controllo granulare degli accessi.
|
expires_in |
Il numero di secondi che mancano alla scadenza del token. Per maggiori informazioni, consulta Durata del token di accesso. |
Durata del token di accesso
Per impostazione predefinita, i token di accesso sono validi per un'ora (3600 secondi). Quando il token di accesso è scaduto, il codice di gestione dei token deve riceverne uno nuovo.
Se hai bisogno di un token di accesso con una durata più lunga o più breve, puoi utilizzare il metodo serviceAccounts.generateAccessToken per crearlo. Questo metodo consente di scegliere la durata del token, con una durata massima di 12 ore.
Se vuoi estendere la durata del token oltre quella predefinita, devi creare un criterio dell'organizzazione che attivi il vincolo iam.allowServiceAccountCredentialLifetimeExtension.
Non puoi creare token di accesso con una durata estesa per le credenziali utente o le identità esterne. Per maggiori informazioni, consulta Creare un token di accesso di breve durata.
Token ID
I token ID sono token web JSON (JWT) conformi alla specifica OpenID Connect (OIDC). Sono costituite da un insieme di coppie chiave-valore chiamate rivendicazioni.
A differenza dei token di accesso, che sono oggetti opachi che non possono essere ispezionati dall'applicazione, i token ID devono essere ispezionati e utilizzati dall'applicazione. Le informazioni del token, ad esempio chi ha firmato il token o l'identità per la quale è stato emesso il token ID, possono essere utilizzate dall'applicazione.
Per saperne di più sull'implementazione di OIDC da parte di Google, consulta OpenID Connect. Per le best practice sull'uso dei JWT, consulta le best practice correnti per i token web JSON.Contenuti del token ID
Puoi controllare un token ID valido (non scaduto o revocato) utilizzando l'endpoint tokeninfo.
Sostituisci ID_TOKEN con il token ID valido e non scaduto.
curl "http://oauth2.googleapis.com/tokeninfo?id_token=ID_TOKEN"
Questo comando restituisce qualcosa di simile al seguente esempio:
{
"iss": "http://accounts.go888ogle.com.fqhub.com",
"azp": "32555350559.apps.googleusercontent.com",
"aud": "32555350559.apps.googleusercontent.com",
"sub": "111260650121185072906",
"hd": "google.com",
"email": "[email protected]",
"email_verified": "true",
"at_hash": "_LLKKivfvfme9eoQ3WcMIg",
"iat": "1650053185",
"exp": "1650056785",
"alg": "RS256",
"kid": "f1338ca26835863f671403941738a7b49e740fc0",
"typ": "JWT"
}
La tabella seguente descrive le attestazioni dei token ID richieste o di uso comune:
| Richiedi | Descrizione |
|---|---|
iss |
L'emittente, o il firmatario, del token. Per i token ID firmati da Google, questo valore è http://accounts.go888ogle.com.fqhub.com.
|
azp |
Facoltativo. A chi è stato emesso il token. |
aud |
Il pubblico del token. Il valore di questa dichiarazione deve corrispondere all'applicazione o al servizio che utilizza il token per autenticare la richiesta.
Per maggiori informazioni, consulta
Dichiarazione del token ID aud.
|
sub |
L'oggetto: l'ID che rappresenta l'entità che effettua la richiesta. |
iat |
Ora del periodo Unix in cui è stato emesso il token. |
exp |
Data epoch di Unix alla scadenza del token. |
Potrebbero essere presenti altri reclami, a seconda dell'emittente e dell'applicazione.
Attestazione token ID aud
L'attestazione aud descrive il nome del servizio che questo token è stato creato per richiamare.
Se un servizio riceve un token ID, deve verificarne l'integrità (firma),
la validità (se è scaduta) e se l'attestazione aud corrisponde al nome previsto.
Se non corrisponde, il servizio deve rifiutare il token, perché potrebbe essere una riproduzione destinata a un altro sistema.
In genere, quando ricevi un token ID, utilizzi le credenziali fornite da un account di servizio anziché quelle utente. Questo perché la rivendicazione aud per i token ID generati utilizzando le credenziali utente è associata in modo statico all'applicazione utilizzata dall'utente per l'autenticazione. Quando utilizzi un account di servizio per acquisire un token ID, puoi specificare un valore diverso per l'attestazione aud.
Durata del token ID
I token ID sono validi per un massimo di 1 ora (3600 secondi). Alla scadenza di un token ID, devi acquisirne uno nuovo.
Convalida token ID
Quando il tuo servizio o la tua applicazione utilizza un servizio Google come Cloud Run, Cloud Functions o Identity-Aware Proxy, Google convalida i token ID per te. In questi casi, i token ID devono essere firmati da Google.
È possibile convalidare i token ID all'interno dell'applicazione, sebbene si tratti di un flusso di lavoro avanzato. Per informazioni, consulta la pagina Convalida di un token ID.
Token web JSON autofirmati (JWT)
Puoi utilizzare JWT autofirmati per l'autenticazione su alcune API di Google senza dover ottenere un token di accesso da Authorization Server.Se stai creando librerie client personalizzate per accedere alle API di Google, ti consigliamo di creare JWT autofirmati, ma si tratta di un flusso di lavoro avanzato. Per saperne di più sui JWT autofirmati, consulta Creazione di un token web JSON autofirmato. Per le best practice sull'utilizzo dei JWT, consulta le best practice correnti per i token web JSON.
Aggiorna token
L'IdP gestisce la durata dei token di lunga durata. Fanno eccezione i file ADC locali, che contengono i token di aggiornamento utilizzati dalle librerie di autenticazione per aggiornare automaticamente i token di accesso per le librerie client.
Token federati
I token federati vengono utilizzati come passaggio intermedio della federazione delle identità per i carichi di lavoro. I token federati vengono restituiti dal Servizio token di sicurezza e non possono essere utilizzati direttamente. Devono essere scambiati con un token di accesso utilizzando l'identità dell'account di servizio.
Token di connessione
I token di connessione sono una classe generale di token che concede l'accesso alla parte in possesso del token. I token di accesso, i token ID e i JWT autofirmati sono tutti token di connessione.
L'utilizzo dei token di connessione per l'autenticazione fa affidamento sulla sicurezza fornita da un protocollo criptato, come HTTPS; se un token di connessione viene intercettato, può essere utilizzato da un malintenzionato per ottenere l'accesso.
Passaggi successivi
- Scopri come configurare le credenziali per ADC.
- Consulta le informazioni su come recuperare i token ID.
- Scopri di più sui metodi di autenticazione.