Dapr 要求のトークン認証を有効にする

Azure Container Apps でアプリケーション Dapr が有効になっている場合、アプリのコンテナーに環境変数 APP_API_TOKEN が挿入されます。 Dapr は、次のように、アプリに送信されるすべての要求に同じトークンを含めます。

• HTTP ヘッダー (dapr-api-token)
• gRPC メタデータ オプション (dapr-api-token[0])

トークンはランダムに生成され、各アプリとアプリのリビジョンごとに固有です。 また、いつでも変更できます。 アプリケーションは、起動時に APP_API_TOKEN 環境変数からトークンを読み取り、正しいトークンを使用していることを確認する必要があります。

このトークンを使用して、パブリック エンドポイントでリッスンしている場合でも、アプリケーションに着信する呼び出しが実際に Dapr サイドカーから送信されることを認証できます。

1. daprd コンテナーは、Dapr からアプリケーションへの各呼び出しにトークンを読み取って注入します。
2. その後、アプリケーションはそのトークンを使用して、要求が Dapr から送信されていることを検証できます。

前提条件

dapr 対応 Azure コンテナー アプリ

Dapr からの要求を認証する

Dapr SDK の使用あり

Dapr SDK を使用している場合は、オープンソース SDK リポジトリで提供されている Dapr 認証方法を使用できます。

プロジェクトに追加されると、Dapr SDK により Dapr からのすべての受信要求でトークンが検証され、正しいトークンを含まない呼び出しが拒否されます。 他のアクションは必要ありません。

トークンを含まない、または正しくないトークンを含む受信要求は、自動的に拒否されます。

SDK の使用なし

Dapr SDK を使用していない場合は、すべての受信要求で HTTP ヘッダーまたは gRPC メタデータ プロパティを確認して、Dapr サイドカーによって作成されていることを検証する必要があります。

HTTP

コード内で、受信要求の HTTP ヘッダー dapr-api-token を探します。

dapr-api-token: <token>

gRPC

gRPC プロトコルを使用している場合は、gRPC メタデータで API トークンの着信呼び出しを調べます。

dapr-api-token[0]

次のステップ

Dapr と Azure Container Apps の統合方法について詳しく説明します。