Google Chat'ten gelen istekleri doğrulama

HTTP uç noktaları üzerinde oluşturulan Google Chat uygulamaları için bu bölümde, uç noktanıza yapılan isteklerin Chat'ten geldiğini nasıl doğrulayacağınız açıklanmaktadır.

Google, etkileşim etkinliklerini Chat uygulamanızın uç noktasına göndermek için hizmetinize istek gönderir. İsteğin Google'dan geldiğini doğrulamak için Chat, uç noktanıza yapılan her HTTPS isteğinin Authorization başlığına bir taşıyıcı jeton ekler. Örneğin:

POST
Host: yourappurl.com
Authorization: Bearer AbCdEf123456
Content-Type: application/json
User-Agent: Google-Dynamite

Yukarıdaki örnekte AbCdEf123456 dizesi, taşıyıcı yetkilendirme jetonudur. Bu, Google tarafından üretilen bir şifreleme jetonudur. Bearer jetonunun türü ve audience alanının değeri, Chat uygulamasını yapılandırırken seçtiğiniz kimlik doğrulama kitlesinin türüne bağlıdır.

Chat uygulamanızı Cloud Functions veya Cloud Run kullanarak uyguladıysanız Cloud IAM, jeton doğrulama işlemini otomatik olarak gerçekleştirir. Google Chat hizmet hesabını yetkili çağıran olarak eklemeniz yeterlidir. Uygulamanız kendi HTTP sunucusunu uyguluyorsa taşıyıcı jetonunuzu açık kaynaklı bir Google API istemci kitaplığı kullanarak doğrulayabilirsiniz:

Jeton, Sohbet uygulaması için doğrulanmazsa hizmetiniz isteğe bir HTTPS yanıt koduyla yanıt vermelidir 401 (Unauthorized).

Cloud Functions veya Cloud Run kullanarak isteklerin kimliğini doğrulama

İşlev mantığınız Cloud Functions veya Cloud Run kullanılarak uygulanıyorsa Chat uygulaması bağlantı ayarının Kimlik Doğrulama Hedef Kitlesi alanında HTTP uç noktası URL'si'ni seçmeniz ve yapılandırmadaki HTTP uç noktası URL'sinin Cloud Functions veya Cloud Run uç noktasının URL'siyle eşleştiğinden emin olmanız gerekir.

Ardından, Google Chat hizmet hesabını chat@system.gserviceaccount.com çağıran olarak yetkilendirmeniz gerekir.

Aşağıdaki adımlarda, Cloud Functions'ın (1. nesil) nasıl kullanılacağı gösterilmektedir:

Konsol

İşlevinizi Google Cloud'a dağıttıktan sonra:

  1. Google Cloud Console'da Cloud Functions sayfasına gidin:

    Cloud Functions'a gitme

  2. Cloud Functions listesinde, alıcı işlevin yanındaki onay kutusunu tıklayın. (İşlevin kendisini tıklamayın.)

  3. Ekranın üst kısmındaki İzinler'i tıklayın. İzinler paneli açılır.

  4. Ana hesap ekle'yi tıklayın.

  5. Yeni ana hesaplar alanına chat@system.gserviceaccount.com girin.

  6. Rol seçin açılır menüsünden Cloud Functions > Cloud Functions Invoker rolünü seçin.

  7. Kaydet'i tıklayın.

gcloud

gcloud functions add-iam-policy-binding komutunu kullanın:

gcloud functions add-iam-policy-binding RECEIVING_FUNCTION \
  --member='serviceAccount:chat@system.gserviceaccount.com' \
  --role='roles/cloudfunctions.invoker'

RECEIVING_FUNCTION yerine Chat uygulamanızın işlevinin adını yazın.

Aşağıdaki adımlarda Cloud Functions (2. nesil) veya Cloud Run hizmetlerinin nasıl kullanılacağı gösterilmektedir:

Konsol

İşlevinizi veya hizmetinizi Google Cloud'a dağıttıktan sonra:

  1. Google Cloud Console'da Cloud Run sayfasına gidin:

    Cloud Run'a gitme

  2. Cloud Run hizmetleri listesinde, alıcı işlevin yanındaki onay kutusunu tıklayın. (İşlevin kendisini tıklamayın.)

  3. Ekranın üst kısmındaki İzinler'i tıklayın. İzinler paneli açılır.

  4. Ana hesap ekle'yi tıklayın.

  5. Yeni ana hesaplar alanına chat@system.gserviceaccount.com girin.

  6. Bir rol seçin açılır menüsünden Cloud Run > Cloud Run Invoker rolünü seçin.

  7. Kaydet'i tıklayın.

gcloud

gcloud functions add-invoker-policy-binding komutunu kullanın:

gcloud functions add-invoker-policy-binding RECEIVING_FUNCTION \
  --member='serviceAccount:chat@system.gserviceaccount.com'

RECEIVING_FUNCTION yerine Chat uygulamanızın işlevinin adını yazın.

HTTP isteklerini kimlik jetonuyla doğrulama

Sohbet uygulaması bağlantı ayarının Kimlik Doğrulama Hedef Kitlesi alanı HTTP uç nokta URL'si olarak ayarlanırsa isteğin taşıyıcı yetkilendirme jetonu, Google tarafından imzalanmış bir OpenID Connect (OIDC) kimlik jetonudur. email alanı chat@system.gserviceaccount.com olarak ayarlanır. Authentication Audience (Kimlik Doğrulama Hedef Kitlesi) alanı, Google Chat'i Chat uygulamanıza istek gönderecek şekilde yapılandırdığınız URL olarak ayarlanır. Örneğin, Chat uygulamanızın yapılandırılmış uç noktası https://example.com/app/ ise kimlik jetonundaki Authentication Audience alanı https://example.com/app/ olur.

HTTP uç noktanız IAM tabanlı kimlik doğrulamayı destekleyen bir hizmette (ör. Cloud Functions veya Cloud Run) barındırılmıyorsa bu kimlik doğrulama yöntemi önerilir. Bu yöntemi kullanırken HTTP hizmetinizin, çalıştığı uç noktanın URL'si hakkında bilgiye ihtiyacı vardır ancak Cloud projesi numarası hakkında bilgiye ihtiyacı yoktur.

Aşağıdaki örneklerde, Google OAuth istemci kitaplığı kullanılarak taşıyıcı jetonun Google Chat tarafından verilip verilmediği ve uygulamanızı hedefleyip hedeflemediğinin nasıl doğrulanacağı gösterilmektedir.

Java

java/basic-app/src/main/java/com/google/chat/app/basic/App.java
String CHAT_ISSUER = "chat@system.gserviceaccount.com";
JsonFactory factory = JacksonFactory.getDefaultInstance();

GoogleIdTokenVerifier verifier =
    new GoogleIdTokenVerifier.Builder(new ApacheHttpTransport(), factory)
        .setAudience(Collections.singletonList(AUDIENCE))
        .build();

GoogleIdToken idToken = GoogleIdToken.parse(factory, bearer);
return idToken != null
    && verifier.verify(idToken)
    && idToken.getPayload().getEmailVerified()
    && idToken.getPayload().getEmail().equals(CHAT_ISSUER);

Python

python/basic-app/main.py
# Bearer Tokens received by apps will always specify this issuer.
CHAT_ISSUER = 'chat@system.gserviceaccount.com'

try:
    # Verify valid token, signed by CHAT_ISSUER, intended for a third party.
    request = requests.Request()
    token = id_token.verify_oauth2_token(bearer, request, AUDIENCE)
    return token['email'] == CHAT_ISSUER

except:
    return False

Node.js

node/basic-app/index.js
// Bearer Tokens received by apps will always specify this issuer.
const chatIssuer = 'chat@system.gserviceaccount.com';

// Verify valid token, signed by chatIssuer, intended for a third party.
try {
  const ticket = await client.verifyIdToken({
    idToken: bearer,
    audience: audience
  });
  return ticket.getPayload().email_verified
      && ticket.getPayload().email === chatIssuer;
} catch (unused) {
  return false;
}

İsteklerin kimliğini proje numarası JWT ile doğrulama

Sohbet uygulaması bağlantı ayarının Kimlik Doğrulama Hedef Kitlesi alanı Project Number olarak ayarlanmışsa isteğin taşıyıcı yetkilendirme jetonu, chat@system.gserviceaccount.com tarafından verilen ve imzalanan, kendi kendine imzalanmış bir JSON Web Jetonu (JWT) olur. audience alanı, Chat uygulamanızı oluşturmak için kullandığınız Google Cloud proje numarası olarak ayarlanır. Örneğin, Chat uygulamanızın Cloud proje numarası 1234567890 ise JWT'deki audience alanı 1234567890 olur.

Bu kimlik doğrulama yöntemi yalnızca istekleri doğrulamak için HTTP uç noktası URL'si yerine Cloud projesi numarasını kullanmayı tercih ediyorsanız önerilir. Örneğin, aynı Cloud proje numarasını korurken uç nokta URL'sini zaman içinde değiştirmek istiyorsanız veya birden fazla Cloud proje numarası için aynı uç noktayı kullanmak ve audience alanını bir Cloud proje numaraları listesiyle karşılaştırmak istiyorsanız.

Aşağıdaki örneklerde, Google OAuth istemci kitaplığı kullanılarak taşıyıcı jetonun Google Chat tarafından verildiği ve projenizi hedeflediğinin nasıl doğrulanacağı gösterilmektedir.

Java

java/basic-app/src/main/java/com/google/chat/app/basic/App.java
String CHAT_ISSUER = "chat@system.gserviceaccount.com";
JsonFactory factory = JacksonFactory.getDefaultInstance();

GooglePublicKeysManager keyManagerBuilder =
    new GooglePublicKeysManager.Builder(new ApacheHttpTransport(), factory)
        .setPublicCertsEncodedUrl(
            "https://www.googleapis.com/service_accounts/v1/metadata/x509/" + CHAT_ISSUER)
        .build();

GoogleIdTokenVerifier verifier =
    new GoogleIdTokenVerifier.Builder(keyManagerBuilder).setIssuer(CHAT_ISSUER).build();

GoogleIdToken idToken = GoogleIdToken.parse(factory, bearer);
return idToken != null
    && verifier.verify(idToken)
    && idToken.verifyAudience(Collections.singletonList(AUDIENCE))
    && idToken.verifyIssuer(CHAT_ISSUER);

Python

python/basic-app/main.py
# Bearer Tokens received by apps will always specify this issuer.
CHAT_ISSUER = 'chat@system.gserviceaccount.com'

try:
    # Verify valid token, signed by CHAT_ISSUER, intended for a third party.
    request = requests.Request()
    certs_url = 'https://www.googleapis.com/service_accounts/v1/metadata/x509/' + CHAT_ISSUER
    token = id_token.verify_token(bearer, request, AUDIENCE, certs_url)
    return token['iss'] == CHAT_ISSUER

except:
    return False

Node.js

node/basic-app/index.js
// Bearer Tokens received by apps will always specify this issuer.
const chatIssuer = 'chat@system.gserviceaccount.com';

// Verify valid token, signed by CHAT_ISSUER, intended for a third party.
try {
  const response = await fetch('https://www.googleapis.com/service_accounts/v1/metadata/x509/' + chatIssuer);
  const certs = await response.json();
  await client.verifySignedJwtWithCertsAsync(
    bearer, certs, audience, [chatIssuer]);
  return true;
} catch (unused) {
  return false;
}