認証
gRPC認証の概要。組み込み認証メカニズムと、独自の認証システムを接続する方法が含まれます。
認証
概要
gRPCは、さまざまな認証メカニズムと連携するように設計されており、gRPCを使用して他のシステムと安全に通信することを容易にします。サポートされているメカニズム(Googleトークンベース認証の有無にかかわらずSSL/TLS)を使用するか、提供されたコードを拡張して独自の認証システムを接続できます。
gRPCは、チャネルの作成時または呼び出し時にすべての必要な認証情報としてCredentialsを提供できる、シンプルな認証APIも提供します。
サポートされている認証メカニズム
gRPCに組み込まれている認証メカニズムは次のとおりです。
- SSL/TLS: gRPCはSSL/TLS統合を備えており、サーバー認証と、クライアントとサーバー間のすべてのデータ交換の暗号化のためにSSL/TLSの使用を推奨しています。相互認証のための証明書をクライアントが提供するオプションのメカニズムが利用可能です。
- ALTS: gRPCは、アプリケーションがCompute EngineまたはGoogle Kubernetes Engine (GKE)で実行されている場合、トランスポートセキュリティメカニズムとしてALTSをサポートします。詳細については、以下の言語固有のページを参照してください: C++でのALTS、GoでのALTS、JavaでのALTS、PythonでのALTS。
- Googleとのトークンベース認証: gRPCは、リクエストとレスポンスにメタデータベースの認証情報を添付するための汎用メカニズム(以下で説明)を提供します。gRPCを介してGoogle APIにアクセスする際に、アクセス トークン(通常はOAuth2トークン)を取得するための追加サポートは、特定の認証フローで提供されます。コード例でその仕組みを確認できます。一般に、このメカニズムはチャネル上のSSL/TLSと併用する必要があります。GoogleはSSL/TLSなしの接続を許可しません。ほとんどのgRPC言語実装では、暗号化されていないチャネルで認証情報を送信することはできません。
警告
Google認証情報は、Googleサービスに接続するためだけにのみ使用してください。Google以外のサービスにGoogle発行のOAuth2トークンを送信すると、そのトークンが盗まれ、Googleサービスへのクライアントのなりすましに使用される可能性があります。認証API
gRPCは、Credentialsオブジェクトの統一された概念に基づいたシンプルな認証APIを提供しており、これはgRPCチャネル全体または個別の呼び出しを作成する際に使用できます。
認証情報タイプ
認証情報は2種類あります。
- チャネル認証情報: SSL認証情報など、
Channelに添付されるものです。 - 呼び出し認証情報: 呼び出し(C++では
ClientContext)に添付されるものです。
これらをCompositeChannelCredentialsで組み合わせることもできます。これにより、例えばチャネルのSSL詳細と、チャネル上の各呼び出しの呼び出し認証情報を指定できます。CompositeChannelCredentialsは、ChannelCredentialsとCallCredentialsを関連付けて新しいChannelCredentialsを作成します。結果として、合成されたCallCredentialsに関連付けられた認証データが、チャネル上のすべての呼び出しで送信されます。
たとえば、SslCredentialsとAccessTokenCredentialsからChannelCredentialsを作成できます。これをChannelに適用すると、このチャネル上の各呼び出しに対して適切なアクセス トークンが送信されます。
個別のCallCredentialsもCompositeCallCredentialsを使用して合成できます。結果として得られるCallCredentialsを呼び出しで使用すると、2つのCallCredentialsに関連付けられた認証データの送信がトリガーされます。
クライアントサイドSSL/TLSの使用
次に、Credentialsがサポートされている認証メカニズムのいずれかとどのように連携するかを見てみましょう。これは最もシンプルな認証シナリオであり、クライアントはサーバーを認証し、すべてのデータを暗号化したいだけです。例はC++ですが、APIはすべての言語で類似しています。より多くの言語でのSSL/TLSの有効化方法については、以下の「例」セクションを参照してください。
// Create a default SSL ChannelCredentials object.
auto channel_creds = grpc::SslCredentials(grpc::SslCredentialsOptions());
// Create a channel using the credentials created in the previous step.
auto channel = grpc::CreateChannel(server_name, channel_creds);
// Create a stub on the channel.
std::unique_ptr<Greeter::Stub> stub(Greeter::NewStub(channel));
// Make actual RPC calls on the stub.
grpc::Status s = stub->sayHello(&context, *request, response);
ルートCAの変更やクライアント証明書の使用などの高度なユースケースでは、対応するオプションを、ファクトリメソッドに渡されるSslCredentialsOptionsパラメータに設定できます。
注記
POSIX非準拠システム(Windowsなど)では、デフォルトはPOSIXファイルシステム用にのみ構成されているため、SslCredentialsOptionsでルート証明書を指定する必要があります。OAuthトークンベース認証の使用
OAuth 2.0プロトコルは、認可のための業界標準プロトコルです。これにより、ウェブサイトやアプリケーションはOAuthトークンを使用して、ユーザーアカウントへの限定的なアクセスを得ることができます。
gRPCは、OAuth 2.0をアプリケーションに統合するためのシンプルなAPIセットを提供し、認証を合理化します。
大まかには、OAuthトークンベース認証の使用は3つのステップで構成されます。
- クライアント側でOAuthトークンを取得または生成する。
- 以下で説明する手順に従って、Google固有のトークンを生成できます。
- OAuthトークンを使用して認証情報を作成する。
- OAuthトークンは常に個別の呼び出し認証情報の一部です。また、これらの呼び出し認証情報をチャネル認証情報に添付することもできます。
- トークンはサーバーに送信され、通常はHTTP Authorizationヘッダーの一部として送信されます。
- サーバー側でトークンを検証する。
- ほとんどの実装では、検証はサーバー側インターセプターを使用して行われます。
さまざまな言語でのOAuthトークンの使用方法の詳細については、以下の例を参照してください。
Googleトークンベース認証の使用
gRPCアプリケーションは、シンプルなAPIを使用して、さまざまなデプロイメントシナリオでGoogle認証に使用できる認証情報を作成できます。ここでも、例はC++ですが、他の言語の例は「例」セクションで見つけることができます。
auto creds = grpc::GoogleDefaultCredentials();
// Create a channel, stub and make RPC calls (same as in the previous example)
auto channel = grpc::CreateChannel(server_name, creds);
std::unique_ptr<Greeter::Stub> stub(Greeter::NewStub(channel));
grpc::Status s = stub->sayHello(&context, *request, response);
このチャネル認証情報オブジェクトは、サービスアカウントを使用するアプリケーションや、Google Compute Engine (GCE)で実行されるアプリケーションに有効です。前者では、サービスアカウントの秘密鍵は、環境変数GOOGLE_APPLICATION_CREDENTIALSで指定されたファイルからロードされます。この鍵は、対応するチャネル上の各RPCに添付されるベアラートークンを生成するために使用されます。
GCEで実行されるアプリケーションの場合、VMセットアップ中にデフォルトのサービスアカウントと対応するOAuth2スコープを構成できます。実行時には、この認証情報が認証システムと通信してOAuth2アクセス トークンを取得し、対応するチャネル上の各RPCに添付します。
gRPCを拡張して他の認証メカニズムをサポートする
CredentialsプラグインAPIを使用すると、開発者は独自の認証情報タイプをプラグインできます。これには以下が含まれます。
MetadataCredentialsPlugin抽象クラス。これは、開発者が作成したサブクラスによって実装する必要がある純粋仮想GetMetadataメソッドを含んでいます。MetadataCredentialsFromPlugin関数。これは、MetadataCredentialsPluginからCallCredentialsを作成します。
以下は、カスタムヘッダーに認証チケットを設定するシンプルな認証情報プラグインの例です。
class MyCustomAuthenticator : public grpc::MetadataCredentialsPlugin {
public:
MyCustomAuthenticator(const grpc::string& ticket) : ticket_(ticket) {}
grpc::Status GetMetadata(
grpc::string_ref service_url, grpc::string_ref method_name,
const grpc::AuthContext& channel_auth_context,
std::multimap<grpc::string, grpc::string>* metadata) override {
metadata->insert(std::make_pair("x-custom-auth-ticket", ticket_));
return grpc::Status::OK;
}
private:
grpc::string ticket_;
};
auto call_creds = grpc::MetadataCredentialsFromPlugin(
std::unique_ptr<grpc::MetadataCredentialsPlugin>(
new MyCustomAuthenticator("super-secret-ticket")));
gRPC認証実装をコアレベルにプラグインすることで、より深い統合を実現できます。gRPCの内部では、SSL/TLSを他の暗号化メカニズムに切り替えることも可能です。
言語ガイドと例
これらの認証メカニズムは、gRPCがサポートするすべての言語で利用可能になります。以下の表は、さまざまな言語での認証と認可を示す例へのリンクです。
| 言語 | 例 | ドキュメント |
|---|---|---|
| C++ | 該当なし | 該当なし |
| Go | Go 例 | Go ドキュメント |
| Java | Java Example TLS (Java Example ATLS) | Java ドキュメント |
| Python | Python 例 | Python ドキュメント |
OAuthトークンベース認証の言語ガイドと例
以下の表は、さまざまな言語でのOAuthトークンベース認証と認可を示す例へのリンクです。
| 言語 | 例 | ドキュメント |
|---|---|---|
| C++ | 該当なし | 該当なし |
| Go | Go OAuth Example | Go OAuth Documentation |
| Java | Java OAuth Example | Java OAuth Documentation |
| Python | Python OAuth Example | Python OAuth Documentation |
追加の例
以下のセクションでは、上記で説明した認証と認可の機能が、上記にリストされていない他の言語でどのように表示されるかを示します。
Ruby
基本ケース - 暗号化も認証もなし
stub = Helloworld::Greeter::Stub.new('localhost:50051', :this_channel_is_insecure)
...
サーバー認証SSL/TLSあり
creds = GRPC::Core::ChannelCredentials.new(load_certs) # load_certs typically loads a CA roots file
stub = Helloworld::Greeter::Stub.new('myservice.example.com', creds)
Googleで認証する
require 'googleauth' # from http://www.rubydoc.info/gems/googleauth/0.1.0
...
ssl_creds = GRPC::Core::ChannelCredentials.new(load_certs) # load_certs typically loads a CA roots file
authentication = Google::Auth.get_application_default()
call_creds = GRPC::Core::CallCredentials.new(authentication.updater_proc)
combined_creds = ssl_creds.compose(call_creds)
stub = Helloworld::Greeter::Stub.new('greeter.googleapis.com', combined_creds)
Node.js
基本ケース - 暗号化/認証なし
var stub = new helloworld.Greeter('localhost:50051', grpc.credentials.createInsecure());
サーバー認証SSL/TLSあり
const root_cert = fs.readFileSync('path/to/root-cert');
const ssl_creds = grpc.credentials.createSsl(root_cert);
const stub = new helloworld.Greeter('myservice.example.com', ssl_creds);
Googleで認証する
// Authenticating with Google
var GoogleAuth = require('google-auth-library'); // from https://www.npmjs.com/package/google-auth-library
...
var ssl_creds = grpc.credentials.createSsl(root_certs);
(new GoogleAuth()).getApplicationDefault(function(err, auth) {
var call_creds = grpc.credentials.createFromGoogleCredential(auth);
var combined_creds = grpc.credentials.combineChannelCredentials(ssl_creds, call_creds);
var stub = new helloworld.Greeter('greeter.googleapis.com', combined_credentials);
});
GoogleでOAuth2トークンを使用して認証する (レガシーアプローチ)
var GoogleAuth = require('google-auth-library'); // from https://www.npmjs.com/package/google-auth-library
...
var ssl_creds = grpc.Credentials.createSsl(root_certs); // load_certs typically loads a CA roots file
var scope = 'https://www.googleapis.com/auth/grpc-testing';
(new GoogleAuth()).getApplicationDefault(function(err, auth) {
if (auth.createScopeRequired()) {
auth = auth.createScoped(scope);
}
var call_creds = grpc.credentials.createFromGoogleCredential(auth);
var combined_creds = grpc.credentials.combineChannelCredentials(ssl_creds, call_creds);
var stub = new helloworld.Greeter('greeter.googleapis.com', combined_credentials);
});
サーバー認証SSL/TLSとカスタムヘッダーとトークン
const rootCert = fs.readFileSync('path/to/root-cert');
const channelCreds = grpc.credentials.createSsl(rootCert);
const metaCallback = (_params, callback) => {
const meta = new grpc.Metadata();
meta.add('custom-auth-header', 'token');
callback(null, meta);
}
const callCreds = grpc.credentials.createFromMetadataGenerator(metaCallback);
const combCreds = grpc.credentials.combineChannelCredentials(channelCreds, callCreds);
const stub = new helloworld.Greeter('myservice.example.com', combCreds);
PHP
基本ケース - 暗号化/認可なし
$client = new helloworld\GreeterClient('localhost:50051', [
'credentials' => Grpc\ChannelCredentials::createInsecure(),
]);
サーバー認証SSL/TLSあり
$client = new helloworld\GreeterClient('myservice.example.com', [
'credentials' => Grpc\ChannelCredentials::createSsl(file_get_contents('roots.pem')),
]);
Googleで認証する
function updateAuthMetadataCallback($context)
{
$auth_credentials = ApplicationDefaultCredentials::getCredentials();
return $auth_credentials->updateMetadata($metadata = [], $context->service_url);
}
$channel_credentials = Grpc\ChannelCredentials::createComposite(
Grpc\ChannelCredentials::createSsl(file_get_contents('roots.pem')),
Grpc\CallCredentials::createFromPlugin('updateAuthMetadataCallback')
);
$opts = [
'credentials' => $channel_credentials
];
$client = new helloworld\GreeterClient('greeter.googleapis.com', $opts);
GoogleでOAuth2トークンを使用して認証する (レガシーアプローチ)
// the environment variable "GOOGLE_APPLICATION_CREDENTIALS" needs to be set
$scope = "https://www.googleapis.com/auth/grpc-testing";
$auth = Google\Auth\ApplicationDefaultCredentials::getCredentials($scope);
$opts = [
'credentials' => Grpc\Credentials::createSsl(file_get_contents('roots.pem'));
'update_metadata' => $auth->getUpdateMetadataFunc(),
];
$client = new helloworld\GreeterClient('greeter.googleapis.com', $opts);
Dart
基本ケース - 暗号化も認証もなし
final channel = new ClientChannel('localhost',
port: 50051,
options: const ChannelOptions(
credentials: const ChannelCredentials.insecure()));
final stub = new GreeterClient(channel);
サーバー認証SSL/TLSあり
// Load a custom roots file.
final trustedRoot = new File('roots.pem').readAsBytesSync();
final channelCredentials =
new ChannelCredentials.secure(certificates: trustedRoot);
final channelOptions = new ChannelOptions(credentials: channelCredentials);
final channel = new ClientChannel('myservice.example.com',
options: channelOptions);
final client = new GreeterClient(channel);
Googleで認証する
// Uses publicly trusted roots by default.
final channel = new ClientChannel('greeter.googleapis.com');
final serviceAccountJson =
new File('service-account.json').readAsStringSync();
final credentials = new JwtServiceAccountAuthenticator(serviceAccountJson);
final client =
new GreeterClient(channel, options: credentials.toCallOptions);
単一RPC呼び出しを認証する
// Uses publicly trusted roots by default.
final channel = new ClientChannel('greeter.googleapis.com');
final client = new GreeterClient(channel);
...
final serviceAccountJson =
new File('service-account.json').readAsStringSync();
final credentials = new JwtServiceAccountAuthenticator(serviceAccountJson);
final response =
await client.sayHello(request, options: credentials.toCallOptions);