Google Cloud API: ADCs erleichtern Authentifikation

Diese Vorteile bringt Googles neues ADC-Feature mit sich

Google Cloud API: Application Default Credentials vereinfachen Authentifikation

OAuth2 ist der weltweite Standard für die Autorisierung in Web-Applikationen und soll dafür sorgen, dass nur User mit den entsprechenden Berechtigungen Zugriff auf den Dienst erhalten. Allerdings ist die Nutzung von OAuth2 nicht immer einfach, etwa weil meist ein sehr spezialisiertes Wissen benötigt wird, um überhaupt einen initialen API-Aufruf durchzuführen.

Dank der Einführung von Application Default Credentials (ADC) will Google das Verbinden von auf Google-Compute-Engine-Instanzen ausgeführten Applikationen mit Google Cloud Platform Services wie Google Cloud Storage deutlich vereinfachen. Die Idee dahinter ist, nur mithilfe einer einzigen Zeile Auth-Code in der App die Verbindung herzustellen. Im Google-Entwicklerblog hat das Entwicklerteam das neue Feature vorgestellt.

Das sind Google Application Default Credentials

Dienste wie etwa Google Cloud Storage, Google BigQuery oder andere Google-Cloud-Plattform-Dienste nutzen OAuth2 für die Authentifikation. Um es Usern die Verbindung von Applikationen mit diesen Diensten zu erleichtern – sprich, Google APIs aufzurufen – hat Google das neue Application-Default-Credentials-Feature eingeführt.

OAuth 2.0 für den Zugriff auf Google APIs

Google APIs nutzen das OAuth-2.0.-Protokoll für die Authentifikation und Autorisierung von Zugriffen. Dabei werden viele der typischen OAuth-2.0-Szenarien, zum Beispiel für Web-Server, installierte Applikationen und client-seitige Applikationen, unterstützt. Der Ablauf ist dabei bei allen Optionen ähnlichen und besteht aus den folgenden vier Schritten:

Einholen von OAuth-2.0-Credentials von der Google Developer Console
Einholen eines Access-Tokens vom Google Authorization Server
Senden des Access-Tokens an ein API
Falls nötig, Neuladen des Access-Tokens

Mehr Informationen zu den verschiedenen Auth-Konzepten bietet Googles Einführung in die Nutzung von OAuth 2.0 um auf Google APIs zugreifen zu können.

Google empfiehlt den Einsatz von ADC vor allem dann, wenn der Code der eigenen Applikation unter der Google App Engine (GAE) oder Google Compute Engine (GCE) ausgeführt wird und Entwickler vermeiden wollen, Authentifikations-Informationen im Applikationsquellcode einzubetten. Auch wenn auf APIs mit Daten, die mit Cloud-Projekten anstatt persönlichen User-Daten assoziiert werden, zugegriffen werden sollen, ist der Einsatz von ADCs ratsam.

Der besondere Vorteil des neuen Features ist, dass nur ein einziger API-Call benötigt wird. Dafür machen sich die Application Default Credentials zum Beispiel 2-legged oder 3-legged OAuth, gcloud CLI und Service Accounts zu Nutze. Mehr Informationen dazu finden sich im oben genannten Blogpost, und auch die Einführung in Googles Application-Default-Credentials-Feature hält zusätzliche Tipps bereit.

ADC ist für verschiedene Google-API-Client-Libraries verfügbar, etwa für Java, Python, Node.js, Ruby und Go. Libraries für PHP und .Net befinden sich, so erklärt das Google-Team, aber ebenfalls bereits in der Entwicklung.