Google Chat'ten gelen istekleri doğrulama

HTTP uç noktaları üzerinde oluşturulan Google Chat uygulamaları için bu bölümde, uç noktanıza yapılan isteklerin Chat'ten geldiğini nasıl doğrulayacağınız açıklanmaktadır.

Google, etkileşim etkinliklerini Chat uygulamanızın uç noktasına göndermek için hizmetinize istek gönderir. İsteğin Google'dan geldiğini doğrulamak için Chat, uç noktanıza yapılan her HTTPS isteğinin Authorization başlığına bir taşıyıcı jeton ekler. Örneğin:

POST
Host: yourappurl.com
Authorization: Bearer AbCdEf123456
Content-Type: application/json
User-Agent: Google-Dynamite

Yukarıdaki örnekte AbCdEf123456 dizesi, taşıyıcı yetkilendirme jetonudur. Bu, Google tarafından üretilen bir şifreleme jetonudur. Bearer jetonunun türü ve audience alanının değeri, Chat uygulamasını yapılandırırken seçtiğiniz kimlik doğrulama kitlesinin türüne bağlıdır.

Chat uygulamanızı Cloud Run işlevlerini kullanarak uyguladıysanız Cloud IAM, jeton doğrulamasını otomatik olarak gerçekleştirir. Google Chat hizmet hesabını yetkili çağıran olarak eklemeniz gerekir. Uygulamanız kendi HTTP sunucusunu uyguluyorsa taşıyıcı jetonunuzu açık kaynaklı bir Google API istemci kitaplığı kullanarak doğrulayabilirsiniz:

• Java: https://github.com/google/google-api-java-client
• Python: https://github.com/google/google-api-python-client
• Node.js: https://github.com/google/google-api-nodejs-client
• .NET: https://github.com/google/google-api-dotnet-client

Jeton, Sohbet uygulaması için doğrulanmazsa hizmetiniz isteğe bir HTTPS yanıt koduyla yanıt vermelidir 401 (Unauthorized).

Cloud Run işlevlerini kullanarak isteklerin kimliğini doğrulama

İşlev mantığınız Cloud Run işlevleri kullanılarak uygulanıyorsa Chat uygulaması bağlantı ayarının Kimlik Doğrulama Hedef Kitlesi alanında HTTP uç noktası URL'si'ni seçmeniz ve yapılandırmadaki HTTP uç noktası URL'sinin Cloud Run işlevi uç noktasının URL'siyle eşleştiğinden emin olmanız gerekir.

Ardından, aşağıdaki adımları uygulayarak Google Chat hizmet hesabını chat@system.gserviceaccount.com çağıran olarak yetkilendirmeniz gerekir:

gcloud functions add-invoker-policy-binding RECEIVING_FUNCTION \
  --member='serviceAccount:chat@system.gserviceaccount.com'

HTTP isteklerini kimlik jetonuyla doğrulama

Sohbet uygulaması bağlantı ayarının Kimlik Doğrulama Hedef Kitlesi alanı HTTP uç nokta URL'si olarak ayarlanırsa, isteğin taşıyıcı yetkilendirme jetonu, Google tarafından imzalanmış bir OpenID Connect (OIDC) kimlik jetonudur. email alanı chat@system.gserviceaccount.com olarak ayarlanır. Authentication Audience (Kimlik Doğrulama Hedef Kitlesi) alanı, Google Chat'i Chat uygulamanıza istek gönderecek şekilde yapılandırdığınız URL olarak ayarlanır. Örneğin, Chat uygulamanızın yapılandırılmış uç noktası https://example.com/app/ ise kimlik jetonundaki Authentication Audience alanı https://example.com/app/ olur.

HTTP uç noktanız, IAM tabanlı kimlik doğrulamayı destekleyen bir hizmette (ör. Cloud Run) barındırılmıyorsa önerilen kimlik doğrulama yöntemi budur. Bu yöntemi kullanırken HTTP hizmetinizin, çalıştığı uç noktanın URL'si hakkında bilgiye ihtiyacı vardır ancak Cloud projesi numarası hakkında bilgiye ihtiyacı yoktur.

Aşağıdaki örneklerde, Google OAuth istemci kitaplığı kullanılarak taşıyıcı jetonun Google Chat tarafından verilip verilmediği ve uygulamanızı hedefleyip hedeflemediğinin nasıl doğrulanacağı gösterilmektedir.

String CHAT_ISSUER = "chat@system.gserviceaccount.com";
JsonFactory factory = JacksonFactory.getDefaultInstance();

GoogleIdTokenVerifier verifier =
    new GoogleIdTokenVerifier.Builder(new ApacheHttpTransport(), factory)
        .setAudience(Collections.singletonList(AUDIENCE))
        .build();

GoogleIdToken idToken = GoogleIdToken.parse(factory, bearer);
return idToken != null
    && verifier.verify(idToken)
    && idToken.getPayload().getEmailVerified()
    && idToken.getPayload().getEmail().equals(CHAT_ISSUER);

# Bearer Tokens received by apps will always specify this issuer.
CHAT_ISSUER = 'chat@system.gserviceaccount.com'

try:
    # Verify valid token, signed by CHAT_ISSUER, intended for a third party.
    request = requests.Request()
    token = id_token.verify_oauth2_token(bearer, request, AUDIENCE)
    return token['email'] == CHAT_ISSUER

except:
    return False

// Bearer Tokens received by apps will always specify this issuer.
const chatIssuer = 'chat@system.gserviceaccount.com';

// Verify valid token, signed by chatIssuer, intended for a third party.
try {
  const ticket = await client.verifyIdToken({
    idToken: bearer,
    audience: audience
  });
  return ticket.getPayload().email_verified
      && ticket.getPayload().email === chatIssuer;
} catch (unused) {
  return false;
}

İsteklerin kimliğini proje numarası JWT ile doğrulama

Sohbet uygulaması bağlantı ayarının Kimlik Doğrulama Hedef Kitlesi alanı Project Number olarak ayarlanmışsa isteğin taşıyıcı yetkilendirme jetonu, chat@system.gserviceaccount.com tarafından verilen ve imzalanan, kendi kendine imzalanmış bir JSON Web Jetonu (JWT) olur. audience alanı, Chat uygulamanızı oluşturmak için kullandığınız Google Cloud proje numarası olarak ayarlanır. Örneğin, Chat uygulamanızın Cloud proje numarası 1234567890 ise JWT'deki audience alanı 1234567890 olur.

Bu kimlik doğrulama yöntemi yalnızca istekleri doğrulamak için HTTP uç noktası URL'si yerine Cloud projesi numarasını kullanmayı tercih ediyorsanız önerilir. Örneğin, aynı Cloud proje numarasını korurken uç nokta URL'sini zaman içinde değiştirmek istiyorsanız veya birden fazla Cloud proje numarası için aynı uç noktayı kullanmak ve audience alanını bir Cloud proje numaraları listesiyle karşılaştırmak istiyorsanız.

Aşağıdaki örneklerde, Google OAuth istemci kitaplığı kullanılarak taşıyıcı jetonun Google Chat tarafından verilip verilmediği ve projenizi hedefleyip hedeflemediğinin nasıl doğrulanacağı gösterilmektedir.

String CHAT_ISSUER = "chat@system.gserviceaccount.com";
JsonFactory factory = JacksonFactory.getDefaultInstance();

GooglePublicKeysManager keyManagerBuilder =
    new GooglePublicKeysManager.Builder(new ApacheHttpTransport(), factory)
        .setPublicCertsEncodedUrl(
            "https://www.googleapis.com/service_accounts/v1/metadata/x509/" + CHAT_ISSUER)
        .build();

GoogleIdTokenVerifier verifier =
    new GoogleIdTokenVerifier.Builder(keyManagerBuilder).setIssuer(CHAT_ISSUER).build();

GoogleIdToken idToken = GoogleIdToken.parse(factory, bearer);
return idToken != null
    && verifier.verify(idToken)
    && idToken.verifyAudience(Collections.singletonList(AUDIENCE))
    && idToken.verifyIssuer(CHAT_ISSUER);

# Bearer Tokens received by apps will always specify this issuer.
CHAT_ISSUER = 'chat@system.gserviceaccount.com'

try:
    # Verify valid token, signed by CHAT_ISSUER, intended for a third party.
    request = requests.Request()
    certs_url = 'https://www.googleapis.com/service_accounts/v1/metadata/x509/' + CHAT_ISSUER
    token = id_token.verify_token(bearer, request, AUDIENCE, certs_url)
    return token['iss'] == CHAT_ISSUER

except:
    return False

// Bearer Tokens received by apps will always specify this issuer.
const chatIssuer = 'chat@system.gserviceaccount.com';

// Verify valid token, signed by CHAT_ISSUER, intended for a third party.
try {
  const response = await fetch('https://www.googleapis.com/service_accounts/v1/metadata/x509/' + chatIssuer);
  const certs = await response.json();
  await client.verifySignedJwtWithCertsAsync(
    bearer, certs, audience, [chatIssuer]);
  return true;
} catch (unused) {
  return false;
}

İlgili konular

• Google Workspace'te kimlik doğrulama ve yetkilendirmeye genel bakış için Kimlik doğrulama ve yetkilendirme hakkında bilgi başlıklı makaleyi inceleyin.
• Chat'te kimlik doğrulama ve yetkilendirmeye genel bir bakış için Kimlik doğrulama genel bakışı başlıklı makaleyi inceleyin.
• Kimlik doğrulama ve yetkilendirmeyi kullanıcı kimlik bilgileri veya hizmet hesabı ile ayarlayın.