個人的に今までパブリッククラウドはほぼAWS一択でGCPはちょっと触ったことある程度でしたが、今回新しいプロジェクトでFirebaseを使うことになったので諸々GCPに寄せてみることにしました。

APIサーバーはGo on Google App Engineで、アプリケーションからのAPIリクエストをFirebaseのIDトークンで認証するという構成です。

GoやGCP(GAE, Firebase)の作法については手探りの部分が多く試行錯誤は続けていますが、最初にまとめてしまうと現状ベースとしてこんなもんかなというのが以下のコード。

// main.go
package main

import (
	"log"
	"net/http"
	"strings"

	firebase "firebase.google.com/go"
	"github.com/go-chi/chi"
	"golang.org/x/oauth2/google"
	"google.golang.org/api/option"
	"google.golang.org/appengine"
)

func main() {
	http.Handle("/", router())
	appengine.Main()
}

func router() http.Handler {
	r := chi.NewRouter()

	// protected routes
	r.Group(func(r chi.Router) {
		r.Use(verifyFirebaseToken)

		r.Get("/private", func(w http.ResponseWriter, r *http.Request) {
			w.Header().Set("Content-Type", "application/json")
			w.WriteHeader(http.StatusOK)
			_, err := w.Write([]byte(`{"message": "now you see private"}`))
			if err != nil {
				http.Error(w, http.StatusText(500), 500)
				return
			}
		})
	})

	// public routes
	r.Group(func(r chi.Router) {
		r.Get("/", func(w http.ResponseWriter, r *http.Request) {
			w.Header().Set("Content-Type", "application/json")
			w.WriteHeader(http.StatusOK)
			_, err := w.Write([]byte(`{"message": "now you see public"}`))
			if err != nil {
				http.Error(w, http.StatusText(500), 500)
				return
			}
		})
	})

	return r
}

func verifyFirebaseToken(next http.Handler) http.Handler {
	return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
		ctx := appengine.NewContext(r)
		creds, err := google.FindDefaultCredentials(ctx)
		if err != nil {
			log.Printf("error: %v\n", err)
			http.Error(w, http.StatusText(500), 500)
			return
		}
		opt := option.WithCredentials(creds)
		app, err := firebase.NewApp(ctx, nil, opt)
		if err != nil {
			log.Printf("error: %v\n", err)
			http.Error(w, http.StatusText(500), 500)
			return
		}
		auth, err := app.Auth(ctx)
		if err != nil {
			log.Printf("error: %v\n", err)
			http.Error(w, http.StatusText(500), 500)
			return
		}
		authHeader := r.Header.Get("Authorization")
		idToken := strings.Replace(authHeader, "Bearer ", "", 1)
		token, err := auth.VerifyIDToken(ctx, idToken)
		if err != nil {
			log.Printf("error: %v\n", err)
			http.Error(w, http.StatusText(401), 401)
			return
		}
		log.Printf("token: %v\n", token)
		next.ServeHTTP(w, r)
	})
}

認証の実装について

今回はルーティングやミドルウェアの実装が簡単そう、かつあまり大げさなものでないのが良さそうだったのでchiというライブラリを使ってみました。

ポイントとしては、認証が必要なルーティングのグループで r.Use(verifyFirebaseToken) としていること。

	// protected routes
	r.Group(func(r chi.Router) {
		// FirebaseのIDトークンを検証するミドルウェア
		r.Use(verifyFirebaseToken)

		r.Get("/private", func(w http.ResponseWriter, r *http.Request) {
			w.Header().Set("Content-Type", "application/json")
			w.WriteHeader(http.StatusOK)
			_, err := w.Write([]byte(`{"message": "now you see private"}`))
			if err != nil {
				http.Error(w, http.StatusText(500), 500)
				return
			}
		})
	})

ここでグルーピングされているパスへのリクエストはFirebaseのIDトークンを検証するミドルウェアを使うことで、正しいFirebaseのIDトークンを持っていないとリクエストが届かないようになります。

func verifyFirebaseToken(next http.Handler) http.Handler {
	return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
		ctx := appengine.NewContext(r)
		creds, err := google.FindDefaultCredentials(ctx)
		if err != nil {
			log.Printf("error: %v\n", err)
			http.Error(w, http.StatusText(500), 500)
			return
		}
		opt := option.WithCredentials(creds)
		app, err := firebase.NewApp(ctx, nil, opt)
		if err != nil {
			log.Printf("error: %v\n", err)
			http.Error(w, http.StatusText(500), 500)
			return
		}
		auth, err := app.Auth(ctx)
		if err != nil {
			log.Printf("error: %v\n", err)
			http.Error(w, http.StatusText(500), 500)
			return
		}
		authHeader := r.Header.Get("Authorization")
		idToken := strings.Replace(authHeader, "Bearer ", "", 1)
		token, err := auth.VerifyIDToken(ctx, idToken)
		if err != nil {
			// 正しいIDトークンがなかった
			log.Printf("error: %v\n", err)
			http.Error(w, http.StatusText(401), 401)
			return
		}
		log.Printf("token: %v\n", token)
		next.ServeHTTP(w, r)
	})
}

この例では / へのリクエストはIDトークンがなくても可能ですが、 /private へのリクエストは正しいIDトークンがないと401となり認証付きAPIが実装できました。

コードのみを示しましたが開発環境の構築やデプロイの方法、CIの活用についても色々試しているので別でまとめようと思っています。 → 続き


追記

GAE/Goでバージョン1.11に移行するにあたって google.golang.org/appengine の使用は推奨されていないようなので、一部コードを書き換えました。

情報はあまり多くないですが、サンプルコードも参考にしました。

以下書き換えた箇所を抜粋、ベースが少ないので少しだけですが。

// appengine.Main()を使わない
func main() {
	http.Handle("/", router())

	port := os.Getenv("PORT")
	if port == "" {
		port = "8080"
		log.Printf("Defaulting to port %s", port)
	}

	log.Printf("Listening on port %s", port)
	log.Fatal(http.ListenAndServe(fmt.Sprintf(":%s", port), nil))
}
func verifyFirebaseToken(next http.Handler) http.Handler {
	return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
		// requestからContextを取得
		ctx := r.Context()
		creds, err := google.FindDefaultCredentials(ctx)
		if err != nil {
			log.Printf("error: %v\n", err)
			http.Error(w, http.StatusText(500), 500)
			return
		}
		opt := option.WithCredentials(creds)
		app, err := firebase.NewApp(ctx, nil, opt)
		if err != nil {
			log.Printf("error: %v\n", err)
			http.Error(w, http.StatusText(500), 500)
			return
		}
		auth, err := app.Auth(ctx)
		if err != nil {
			log.Printf("error: %v\n", err)
			http.Error(w, http.StatusText(500), 500)
			return
		}
		authHeader := r.Header.Get("Authorization")
		idToken := strings.Replace(authHeader, "Bearer ", "", 1)
		token, err := auth.VerifyIDToken(ctx, idToken)
		if err != nil {
			log.Printf("error: %v\n", err)
			http.Error(w, http.StatusText(401), 401)
			return
		}
		log.Printf("token: %v\n", token)
		next.ServeHTTP(w, r)
	})
}