Weryfikowanie próśb z Google Chat

W przypadku aplikacji Google Chat opartych na punktach końcowych HTTP w tej sekcji wyjaśniamy, jak sprawdzić, czy żądania wysyłane do punktu końcowego pochodzą z Google Chat.

Aby wysyłać zdarzenia interakcji do punktu końcowego aplikacji Google Chat, Google wysyła żądania do Twojej usługi. Aby potwierdzić, że żądanie pochodzi z Google, Chat dołącza token dostępu do nagłówka Authorization każdego żądania HTTPS wysyłanego do Twojego punktu końcowego. Przykład:

POST
Host: yourappurl.com
Authorization: Bearer AbCdEf123456
Content-Type: application/json
User-Agent: Google-Dynamite

Ciąg znaków AbCdEf123456 w poprzednim przykładzie to token autoryzacji typu bearer. Jest to token kryptograficzny wygenerowany przez Google. Typ tokena dostępu i wartość pola audience zależą od typu odbiorców uwierzytelniania wybranego podczas konfigurowania aplikacji do obsługi czatu.

Jeśli aplikacja do obsługi czatu została wdrożona przy użyciu funkcji Cloud Run, Cloud IAM automatycznie obsługuje weryfikację tokenów. Musisz dodać konto usługi Google Chat jako autoryzowanego wywołującego. Jeśli Twoja aplikacja implementuje własny serwer HTTP, możesz zweryfikować token dostępu za pomocą biblioteki klienta interfejsu API Google o otwartym kodzie źródłowym:

• Java: https://github.com/google/google-api-java-client
• Python: https://github.com/google/google-api-python-client
• Node.js https://github.com/google/google-api-nodejs-client
• .NET: https://github.com/google/google-api-dotnet-client

Jeśli token nie zostanie zweryfikowany w aplikacji Chat, usługa powinna odpowiedzieć na żądanie kodem odpowiedzi HTTPS 401 (Unauthorized).

Uwierzytelnianie żądań za pomocą funkcji Cloud Run

Jeśli logika funkcji jest zaimplementowana za pomocą funkcji Cloud Run, w polu Odbiorcy uwierzytelniania w ustawieniu połączenia aplikacji do obsługi Google Chat musisz wybrać Adres URL punktu końcowego HTTP i upewnić się, że adres URL punktu końcowego HTTP w konfiguracji odpowiada adresowi URL punktu końcowego funkcji Cloud Run.

Następnie musisz autoryzować konto usługi Google Chat chat@system.gserviceaccount.com jako wywołującego, wykonując te czynności:

gcloud functions add-invoker-policy-binding RECEIVING_FUNCTION \
  --member='serviceAccount:chat@system.gserviceaccount.com'

Uwierzytelnianie żądań HTTP za pomocą tokena identyfikatora

Jeśli w polu Odbiorcy uwierzytelniania w ustawieniu połączenia aplikacji do czatu wybrano Adres URL punktu końcowego HTTP, token autoryzacji typu bearer w żądaniu jest podpisanym przez Google tokenem tożsamości OpenID Connect (OIDC) ID token. Pole email ma wartość chat@system.gserviceaccount.com. Pole Authentication Audience (Odbiorcy uwierzytelniania) jest ustawione na adres URL, do którego Google Chat wysyła żądania do Twojej aplikacji Google Chat. Jeśli na przykład skonfigurowany punkt końcowy aplikacji Google Chat to https://example.com/app/, pole Authentication Audience w tokenie identyfikatora to https://example.com/app/.

Jest to zalecana metoda uwierzytelniania, jeśli punkt końcowy HTTP nie jest hostowany w usłudze, która obsługuje uwierzytelnianie oparte na IAM (np. Cloud Run). W przypadku tej metody usługa HTTP potrzebuje informacji o adresie URL punktu końcowego, w którym jest uruchomiona, ale nie potrzebuje informacji o numerze projektu w Google Cloud.

Poniższe przykłady pokazują, jak za pomocą biblioteki klienta Google OAuth sprawdzić, czy token okaziciela został wydany przez Google Chat i jest przeznaczony dla Twojej aplikacji.

String CHAT_ISSUER = "chat@system.gserviceaccount.com";
JsonFactory factory = JacksonFactory.getDefaultInstance();

GoogleIdTokenVerifier verifier =
    new GoogleIdTokenVerifier.Builder(new ApacheHttpTransport(), factory)
        .setAudience(Collections.singletonList(AUDIENCE))
        .build();

GoogleIdToken idToken = GoogleIdToken.parse(factory, bearer);
return idToken != null
    && verifier.verify(idToken)
    && idToken.getPayload().getEmailVerified()
    && idToken.getPayload().getEmail().equals(CHAT_ISSUER);

# Bearer Tokens received by apps will always specify this issuer.
CHAT_ISSUER = 'chat@system.gserviceaccount.com'

try:
    # Verify valid token, signed by CHAT_ISSUER, intended for a third party.
    request = requests.Request()
    token = id_token.verify_oauth2_token(bearer, request, AUDIENCE)
    return token['email'] == CHAT_ISSUER

except:
    return False

// Bearer Tokens received by apps will always specify this issuer.
const chatIssuer = 'chat@system.gserviceaccount.com';

// Verify valid token, signed by chatIssuer, intended for a third party.
try {
  const ticket = await client.verifyIdToken({
    idToken: bearer,
    audience: audience
  });
  return ticket.getPayload().email_verified
      && ticket.getPayload().email === chatIssuer;
} catch (unused) {
  return false;
}

Uwierzytelnianie żądań za pomocą tokena JWT z numerem projektu

Jeśli pole Authentication Audience (Odbiorca uwierzytelniania) w ustawieniu połączenia aplikacji do obsługi czatu ma wartość Project Number, token autoryzacji typu bearer w żądaniu jest samodzielnie podpisanym tokenem internetowym JSON (JWT) wydanym i podpisanym przez chat@system.gserviceaccount.com. Pole audience jest ustawione na numer projektu Google Cloud, którego użyto do utworzenia aplikacji do obsługi czatu. Jeśli na przykład numer projektu Cloud aplikacji do obsługi czatu to 1234567890, pole audience w JWT ma wartość 1234567890.

Ta metoda uwierzytelniania jest zalecana tylko wtedy, gdy wolisz używać numeru projektu w Google Cloud do weryfikowania żądań zamiast adresu URL punktu końcowego HTTP. Może to być przydatne np. wtedy, gdy chcesz z czasem zmieniać adres URL punktu końcowego, ale zachować ten sam numer projektu Google Cloud, lub gdy chcesz używać tego samego punktu końcowego w przypadku wielu numerów projektów Google Cloud i porównywać pole audience z listą numerów projektów Google Cloud.

Poniższe przykłady pokazują, jak za pomocą biblioteki klienta Google OAuth sprawdzić, czy token okaziciela został wydany przez Google Chat i jest przeznaczony dla Twojego projektu.

String CHAT_ISSUER = "chat@system.gserviceaccount.com";
JsonFactory factory = JacksonFactory.getDefaultInstance();

GooglePublicKeysManager keyManagerBuilder =
    new GooglePublicKeysManager.Builder(new ApacheHttpTransport(), factory)
        .setPublicCertsEncodedUrl(
            "https://www.googleapis.com/service_accounts/v1/metadata/x509/" + CHAT_ISSUER)
        .build();

GoogleIdTokenVerifier verifier =
    new GoogleIdTokenVerifier.Builder(keyManagerBuilder).setIssuer(CHAT_ISSUER).build();

GoogleIdToken idToken = GoogleIdToken.parse(factory, bearer);
return idToken != null
    && verifier.verify(idToken)
    && idToken.verifyAudience(Collections.singletonList(AUDIENCE))
    && idToken.verifyIssuer(CHAT_ISSUER);

# Bearer Tokens received by apps will always specify this issuer.
CHAT_ISSUER = 'chat@system.gserviceaccount.com'

try:
    # Verify valid token, signed by CHAT_ISSUER, intended for a third party.
    request = requests.Request()
    certs_url = 'https://www.googleapis.com/service_accounts/v1/metadata/x509/' + CHAT_ISSUER
    token = id_token.verify_token(bearer, request, AUDIENCE, certs_url)
    return token['iss'] == CHAT_ISSUER

except:
    return False

// Bearer Tokens received by apps will always specify this issuer.
const chatIssuer = 'chat@system.gserviceaccount.com';

// Verify valid token, signed by CHAT_ISSUER, intended for a third party.
try {
  const response = await fetch('https://www.googleapis.com/service_accounts/v1/metadata/x509/' + chatIssuer);
  const certs = await response.json();
  await client.verifySignedJwtWithCertsAsync(
    bearer, certs, audience, [chatIssuer]);
  return true;
} catch (unused) {
  return false;
}

Powiązane artykuły

• Omówienie uwierzytelniania i autoryzacji w Google Workspace znajdziesz w artykule Uwierzytelnianie i autoryzacja.
• Ogólne informacje o uwierzytelnianiu i autoryzacji w Google Chat znajdziesz w artykule Uwierzytelnianie – omówienie.
• Skonfiguruj uwierzytelnianie i autoryzację za pomocą danych logowania użytkownika lub konta usługi.