Se la tua app consente agli utenti di accedere ai propri account utilizzando Google, puoi migliorare la sicurezza di questi account utente condivisi ascoltando e rispondendo alle notifiche relative agli eventi di sicurezza fornite dal servizio Protezione su più account.
Queste notifiche ti avvisano di modifiche importanti agli Account Google dei tuoi utenti, che spesso possono avere anche implicazioni per la sicurezza dei loro account con la tua app. Ad esempio, se l'Account Google di un utente viene compromesso, potrebbe essere compromesso anche il suo account con la tua app tramite il recupero dell'account email o l'utilizzo dell'accesso singolo.
Per aiutarti a ridurre il potenziale rischio di questi eventi, Google invia ai tuoi oggetti di servizio token di eventi di sicurezza. Questi token forniscono pochissime informazioni, solo il tipo di evento di sicurezza e la data e l'ora in cui si è verificato, nonché l'identificatore dell'utente interessato, ma puoi utilizzarli per intraprendere azioni appropriate in risposta. Ad esempio, se l'Account Google di un utente è stato compromesso, puoi disattivare temporaneamente Accedi con Google per quell'utente e impedire l'invio di email di recupero dell'account all'indirizzo Gmail dell'utente.
La Protezione su più account si basa sullo standard RISC, sviluppato dalla OpenID Foundation.
Panoramica
Per utilizzare Protezione su più account con la tua app o il tuo servizio, devi completare le seguenti attività:
Configura il progetto in API Console.
Crea un endpoint del ricevitore eventi a cui Google invierà i token degli eventi di sicurezza. Questo endpoint è responsabile della convalida dei token ricevuti e della risposta agli eventi di sicurezza nel modo che preferisci.
Registra il tuo endpoint su Google per iniziare a ricevere token di eventi di sicurezza.
Prerequisito
Riceverai token evento di sicurezza solo per gli utenti Google che hanno concesso al tuo servizio l'autorizzazione ad accedere ai loro dati di profilo o indirizzi email. Puoi ottenere questa autorizzazione richiedendo gli ambiti profile o email. Gli SDK Accedi con Google più recenti o gli SDK Accedi con Google precedenti richiedono questi ambiti per impostazione predefinita, ma se non utilizzi le impostazioni predefinite o se accedi direttamente all'endpoint OpenID Connect di Google, assicurati di richiedere almeno uno di questi ambiti.
Configura un progetto in API Console
Prima di poter iniziare a ricevere token evento di sicurezza, devi creare un account servizio e attivare l'API RISC nel tuo progettoAPI Console . Devi utilizzare lo stesso API Console progetto che utilizzi per accedere ai servizi Google, come Accedi con Google, nella tua app.
Per creare l'account di servizio:
Apri API Console Credentials page. Quando richiesto, scegli il API Console progetto che utilizzi per accedere ai servizi Google nella tua app.
Fai clic su Crea credenziali > Account di servizio.
Crea un nuovo account di servizio con il ruolo RISC Configuration Admin (
roles/riscconfigs.admin) seguendo queste istruzioni.Crea una chiave per il tuo account di servizio appena creato. Scegli il tipo di chiave JSON e poi fai clic su Crea. Una volta creata la chiave, scaricherai un file JSON contenente le credenziali dell'account di servizio. Conserva questo file in un luogo sicuro, ma accessibile anche all'endpoint del ricevitore di eventi.
Mentre sei nella pagina Credenziali del progetto, prendi nota anche degli ID cliente che utilizzi per Accedi con Google o Accedi con Google (legacy). In genere, hai un ID client per ogni piattaforma supportata. Ti serviranno questi ID client per convalidare i token degli eventi di sicurezza, come descritto nella sezione successiva.
Per abilitare l'API RISC:
Apri la pagina API RISC inAPI Console. Assicurati che il progetto che utilizzi per accedere ai servizi Google sia ancora selezionato.
Leggi i Termini RISC e assicurati di aver compreso i requisiti.
Se stai attivando l'API per un progetto di proprietà di un'organizzazione, assicurati di disporre dell'autorizzazione per vincolare la tua organizzazione ai Termini RISC.
Fai clic su Attiva solo se accetti i Termini di RISC.
Creare un endpoint di ricezione di eventi
Per ricevere notifiche di eventi di sicurezza da Google, devi creare un endpoint HTTPS che gestisce le richieste POST HTTPS. Dopo aver registrato questo endpoint (vedi di seguito), Google inizierà a pubblicare nell'endpoint stringhe firmate crittograficamente chiamate token di eventi di sicurezza. I token evento di sicurezza sono JWT firmati che contengono informazioni su un singolo evento relativo alla sicurezza.
Per ogni token di evento di sicurezza che ricevi nel tuo endpoint, convalida e decodifica prima il token, quindi gestisci l'evento di sicurezza in base alle esigenze del tuo servizio. È essenziale convalidare il token evento prima della decodifica per evitare attacchi malintenzionati da parte di utenti malintenzionati. Le sezioni seguenti descrivono queste attività:
1. Decodifica e convalida il token evento di sicurezza
Poiché i token evento di sicurezza sono un tipo specifico di JWT, puoi utilizzare qualsiasi libreria JWT, ad esempio una di quelle elencate su jwt.io, per decodificarli e convalidarli. Indipendentemente dalla libreria utilizzata, il codice di convalida del token deve:
- Recupera l'identificatore dell'emittente della Protezione tra account (
issuer) e l'URI del certificato della chiave di firma (jwks_uri) dal documento di configurazione RISC di Google, che puoi trovare all'indirizzohttps://accounts.google.com/.well-known/risc-configuration. - Utilizzando la libreria JWT che preferisci, recupera l'ID chiave di firma dall'intestazione del token dell'evento di sicurezza.
- Dal documento del certificato della chiave di firma di Google, ottieni la chiave pubblica con l'ID chiave ottenuto nel passaggio precedente. Se il documento non contiene una chiave con l'ID che stai cercando, è probabile che il token evento di sicurezza non sia valido e che l'endpoint restituisca l'errore HTTP 400.
- Utilizzando la libreria JWT che preferisci, verifica quanto segue:
- Il token evento di sicurezza è firmato utilizzando la chiave pubblica ottenuta nel passaggio precedente.
- La rivendicazione
auddel token è uno degli ID client delle tue app. - L'affermazione
issdel token corrisponde all'identificatore dell'emittente che hai ottenuto dal documento di rilevamento RISC. Tieni presente che non devi verificare la scadenza del token (exp) perché i token evento di sicurezza rappresentano eventi storici e, come tali, non scadono.
Ad esempio:
Java
Utilizzando java-jwt e jwks-rsa-java:
public DecodedJWT validateSecurityEventToken(String token) {
DecodedJWT jwt = null;
try {
// In a real implementation, get these values from
// https://accounts.google.com/.well-known/risc-configuration
String issuer = "accounts.google.com";
String jwksUri = "https://www.googleapis.com/oauth2/v3/certs";
// Get the ID of the key used to sign the token.
DecodedJWT unverifiedJwt = JWT.decode(token);
String keyId = unverifiedJwt.getKeyId();
// Get the public key from Google.
JwkProvider googleCerts = new UrlJwkProvider(new URL(jwksUri), null, null);
PublicKey publicKey = googleCerts.get(keyId).getPublicKey();
// Verify and decode the token.
Algorithm rsa = Algorithm.RSA256((RSAPublicKey) publicKey, null);
JWTVerifier verifier = JWT.require(rsa)
.withIssuer(issuer)
// Get your apps' client IDs from the API console:
// https://console.developers.google.com/apis/credentials?project=_
.withAudience("123456789-abcedfgh.apps.googleusercontent.com",
"123456789-ijklmnop.apps.googleusercontent.com",
"123456789-qrstuvwx.apps.googleusercontent.com")
.acceptLeeway(Long.MAX_VALUE) // Don't check for expiration.
.build();
jwt = verifier.verify(token);
} catch (JwkException e) {
// Key not found. Return HTTP 400.
} catch (InvalidClaimException e) {
} catch (JWTDecodeException exception) {
// Malformed token. Return HTTP 400.
} catch (MalformedURLException e) {
// Invalid JWKS URI.
}
return jwt;
}
Python
import json
import jwt # pip install pyjwt
import requests # pip install requests
def validate_security_token(token, client_ids):
# Get Google's RISC configuration.
risc_config_uri = 'https://accounts.google.com/.well-known/risc-configuration'
risc_config = requests.get(risc_config_uri).json()
# Get the public key used to sign the token.
google_certs = requests.get(risc_config['jwks_uri']).json()
jwt_header = jwt.get_unverified_header(token)
key_id = jwt_header['kid']
public_key = None
for key in google_certs['keys']:
if key['kid'] == key_id:
public_key = jwt.algorithms.RSAAlgorithm.from_jwk(json.dumps(key))
if not public_key:
raise Exception('Public key certificate not found.')
# In this situation, return HTTP 400
# Decode the token, validating its signature, audience, and issuer.
try:
token_data = jwt.decode(token, public_key, algorithms='RS256',
options={'verify_exp': False},
audience=client_ids, issuer=risc_config['issuer'])
except:
raise
# Validation failed. Return HTTP 400.
return token_data
# Get your apps' client IDs from the API console:
# https://console.developers.google.com/apis/credentials?project=_
client_ids = ['123456789-abcedfgh.apps.googleusercontent.com',
'123456789-ijklmnop.apps.googleusercontent.com',
'123456789-qrstuvwx.apps.googleusercontent.com']
token_data = validate_security_token(token, client_ids)
Se il token è valido ed è stato decodificato correttamente, restituisci lo stato HTTP 202. Gestisci quindi l'evento di sicurezza indicato dal token.
2. Gestire gli eventi di sicurezza
Dopo la decodifica, un token evento di sicurezza ha il seguente aspetto:
{
"iss": "https://accounts.google.com/",
"aud": "123456789-abcedfgh.apps.googleusercontent.com",
"iat": 1508184845,
"jti": "756E69717565206964656E746966696572",
"events": {
"https://schemas.openid.net/secevent/risc/event-type/account-disabled": {
"subject": {
"subject_type": "iss-sub",
"iss": "https://accounts.google.com/",
"sub": "7375626A656374"
},
"reason": "hijacking"
}
}
}
Le rivendicazioni iss e aud indicano l'emittente del token (Google) e il destinatario previsto del token (il tuo servizio). Hai verificato queste affermazioni nel
passaggio precedente.
L'affermazione jti è una stringa che identifica un singolo evento di sicurezza ed è unicamente associata allo stream. Puoi utilizzare questo identificatore per monitorare gli eventi di sicurezza
che hai ricevuto.
L'affermazione events contiene informazioni sull'evento di sicurezza rappresentato dal token. Questa rivendicazione è una mappatura da un identificatore di tipo di evento a una rivendicazione subject, che specifica l'utente a cui si riferisce l'evento e eventuali dettagli aggiuntivi sull'evento che potrebbero essere disponibili.
L'affermazione subject identifica un utente specifico con l'ID Account Google univoco (sub) dell'utente. Questo ID Account Google è lo stesso identificatore (sub) contenuto nei token ID JWT emessi dalla libreria Accedi con Google (Javascript, HTML) più recente, dalla libreria Accedi con Google precedente o da OpenID Connect. Quando il subject_type della rivendicazione è id_token_claims, potrebbe essere incluso anche un campo email con l'indirizzo email dell'utente.
Utilizza le informazioni nella rivendicazione events per intraprendere l'azione appropriata per il tipo di evento nell'account dell'utente specificato.
Identificatori dei token OAuth
Per gli eventi OAuth relativi ai singoli token, il tipo di identificatore oggetto token contiene i seguenti campi:
token_type: è supportato solorefresh_token.token_identifier_alg: consulta la tabella di seguito per i valori possibili.token: vedi la tabella di seguito.
| token_identifier_alg | token |
|---|---|
prefix |
I primi 16 caratteri del token. |
hash_base64_sha512_sha512 |
Il doppio hash del token utilizzando SHA-512. |
Se esegui l'integrazione con questi eventi, ti consigliamo di indicizzare i token in base a questi possibili valori per garantire una corrispondenza rapida al momento della ricezione dell'evento.
Tipi di eventi supportati
Protezione su più account supporta i seguenti tipi di eventi di sicurezza:
| Tipo di evento | Attributi | Come rispondere |
|---|---|---|
https://schemas.openid.net/secevent/risc/event-type/sessions-revoked |
Obbligatorio: reimposta la sicurezza dell'account dell'utente terminando le sessioni attualmente aperte. | |
https://schemas.openid.net/secevent/oauth/event-type/tokens-revoked |
Obbligatorio: se il token è per Accedi con Google, interrompi le sessioni attualmente aperte. Inoltre, ti consigliamo di suggerire all'utente di configurare un metodo di accesso alternativo. Suggerito: se il token serve per accedere ad altre API di Google, elimina tutti i token OAuth dell'utente che hai archiviato. |
|
https://schemas.openid.net/secevent/oauth/event-type/token-revoked |
Per gli identificatori dei token, consulta la sezione Identificatori dei token OAuth. |
Obbligatorio: se memorizzi il token di aggiornamento corrispondente, eliminalo e chiedi all'utente di dare nuovamente il consenso la prossima volta che sarà necessario un token di accesso. |
https://schemas.openid.net/secevent/risc/event-type/account-disabled |
reason=hijacking,reason=bulk-account |
Obbligatorio: se il motivo della disattivazione dell'account è Suggerito: se il motivo della disattivazione dell'account è Suggerito: se non è stato fornito alcun motivo, disattiva Accedi con Google per l'utente e disattiva il recupero dell'account utilizzando l'indirizzo email associato all'Account Google dell'utente (di solito, ma non necessariamente, un account Gmail). Offri all'utente un metodo di accesso alternativo. |
https://schemas.openid.net/secevent/risc/event-type/account-enabled |
Suggerito: riattivare Accedi con Google per l'utente e riattivare il recupero dell'account con l'indirizzo email dell'Account Google dell'utente. | |
https://schemas.openid.net/secevent/risc/event-type/account-credential-change-required |
Suggerito: tieni d'occhio le attività sospette nel tuo servizio e intervieni in modo appropriato. | |
https://schemas.openid.net/secevent/risc/event-type/verification |
state=state | Suggerito: registra la ricezione di un token di test. |
Eventi duplicati e mancanti
La Protezione su più account tenterà di inviare nuovamente gli eventi che ritiene non essere stati inviati. Pertanto, a volte potresti ricevere lo stesso evento più volte. Se ciò potrebbe causare azioni ripetute che causano disagi ai tuoi utenti, ti consigliamo di utilizzare l'affermazione jti (che è un identificatore univoco per un evento) per deduplicare gli eventi. Esistono strumenti esterni come Google Cloud Dataflow che possono aiutarti a eseguire il flusso di dati deduplicato.
Tieni presente che gli eventi vengono inviati con tentativi di ripetizione limitati, pertanto se il ricevitore non è attivo per un periodo di tempo prolungato, potresti perdere definitivamente alcuni eventi.
Registra il ricevitore
Per iniziare a ricevere eventi di sicurezza, registra l'endpoint del destinatario utilizzando l'API RISC. Le chiamate all'API RISC devono essere accompagnate da un token di autorizzazione.
Riceverai eventi di sicurezza solo per gli utenti della tua app, quindi devi avere configurato una schermata di consenso OAuth nel tuo progetto Google Cloud come prerequisito per i passaggi descritti di seguito.
1. Generare un token di autorizzazione
Per generare un token di autorizzazione per l'API RISC, crea un JWT con i seguenti claim:
{
"iss": SERVICE_ACCOUNT_EMAIL,
"sub": SERVICE_ACCOUNT_EMAIL,
"aud": "https://risc.googleapis.com/google.identity.risc.v1beta.RiscManagementService",
"iat": CURRENT_TIME,
"exp": CURRENT_TIME + 3600
}Firma il JWT utilizzando la chiave privata dell'account di servizio, che puoi trovare nel file JSON scaricato quando hai creato la chiave dell'account di servizio.
Ad esempio:
Java
Utilizzo di java-jwt e della libreria di autenticazione di Google:
public static String makeBearerToken() {
String token = null;
try {
// Get signing key and client email address.
FileInputStream is = new FileInputStream("your-service-account-credentials.json");
ServiceAccountCredentials credentials =
(ServiceAccountCredentials) GoogleCredentials.fromStream(is);
PrivateKey privateKey = credentials.getPrivateKey();
String keyId = credentials.getPrivateKeyId();
String clientEmail = credentials.getClientEmail();
// Token must expire in exactly one hour.
Date issuedAt = new Date();
Date expiresAt = new Date(issuedAt.getTime() + 3600000);
// Create signed token.
Algorithm rsaKey = Algorithm.RSA256(null, (RSAPrivateKey) privateKey);
token = JWT.create()
.withIssuer(clientEmail)
.withSubject(clientEmail)
.withAudience("https://risc.googleapis.com/google.identity.risc.v1beta.RiscManagementService")
.withIssuedAt(issuedAt)
.withExpiresAt(expiresAt)
.withKeyId(keyId)
.sign(rsaKey);
} catch (ClassCastException e) {
// Credentials file doesn't contain a service account key.
} catch (IOException e) {
// Credentials file couldn't be loaded.
}
return token;
}
Python
import json
import time
import jwt # pip install pyjwt
def make_bearer_token(credentials_file):
with open(credentials_file) as service_json:
service_account = json.load(service_json)
issuer = service_account['client_email']
subject = service_account['client_email']
private_key_id = service_account['private_key_id']
private_key = service_account['private_key']
issued_at = int(time.time())
expires_at = issued_at + 3600
payload = {'iss': issuer,
'sub': subject,
'aud': 'https://risc.googleapis.com/google.identity.risc.v1beta.RiscManagementService',
'iat': issued_at,
'exp': expires_at}
encoded = jwt.encode(payload, private_key, algorithm='RS256',
headers={'kid': private_key_id})
return encoded
auth_token = make_bearer_token('your-service-account-credentials.json')
Questo token di autorizzazione può essere utilizzato per effettuare chiamate all'API RISC per un'ora. Quando il token scade, generane uno nuovo per continuare a effettuare chiamate all'API RISC.
2. Chiama l'API di configurazione dello stream RISC
Ora che hai un token di autorizzazione, puoi utilizzare l'API RISC per configurare lo stream di eventi di sicurezza del tuo progetto, inclusa la registrazione dell'endpoint di ricezione.
A tale scopo, invia una richiesta POST HTTPS a https://risc.googleapis.com/v1beta/stream:update,
specificando l'endpoint del destinatario e i tipi di eventi di sicurezza che ti interessano:
POST /v1beta/stream:update HTTP/1.1
Host: risc.googleapis.com
Authorization: Bearer AUTH_TOKEN
{
"delivery": {
"delivery_method":
"https://schemas.openid.net/secevent/risc/delivery-method/push",
"url": RECEIVER_ENDPOINT
},
"events_requested": [
SECURITY_EVENT_TYPES
]
}
Ad esempio:
Java
public static void configureEventStream(final String receiverEndpoint,
final List<String> eventsRequested,
String authToken) throws IOException {
ObjectMapper jsonMapper = new ObjectMapper();
String streamConfig = jsonMapper.writeValueAsString(new Object() {
public Object delivery = new Object() {
public String delivery_method =
"https://schemas.openid.net/secevent/risc/delivery-method/push";
public String url = receiverEndpoint;
};
public List<String> events_requested = eventsRequested;
});
HttpPost updateRequest = new HttpPost("https://risc.googleapis.com/v1beta/stream:update");
updateRequest.addHeader("Content-Type", "application/json");
updateRequest.addHeader("Authorization", "Bearer " + authToken);
updateRequest.setEntity(new StringEntity(streamConfig));
HttpResponse updateResponse = new DefaultHttpClient().execute(updateRequest);
Header[] responseContentTypeHeaders = updateResponse.getHeaders("Content-Type");
StatusLine responseStatus = updateResponse.getStatusLine();
int statusCode = responseStatus.getStatusCode();
HttpEntity entity = updateResponse.getEntity();
// Now handle response
}
// ...
configureEventStream(
"https://your-service.example.com/security-event-receiver",
Arrays.asList(
"https://schemas.openid.net/secevent/risc/event-type/account-credential-change-required",
"https://schemas.openid.net/secevent/risc/event-type/account-disabled"),
authToken);
Python
import requests
def configure_event_stream(auth_token, receiver_endpoint, events_requested):
stream_update_endpoint = 'https://risc.googleapis.com/v1beta/stream:update'
headers = {'Authorization': 'Bearer {}'.format(auth_token)}
stream_cfg = {'delivery': {'delivery_method': 'https://schemas.openid.net/secevent/risc/delivery-method/push',
'url': receiver_endpoint},
'events_requested': events_requested}
response = requests.post(stream_update_endpoint, json=stream_cfg, headers=headers)
response.raise_for_status() # Raise exception for unsuccessful requests
configure_event_stream(auth_token, 'https://your-service.example.com/security-event-receiver',
['https://schemas.openid.net/secevent/risc/event-type/account-credential-change-required',
'https://schemas.openid.net/secevent/risc/event-type/account-disabled'])
Se la richiesta restituisce HTTP 200, lo stream di eventi è stato configurato correttamente e l'endpoint del ricevitore dovrebbe iniziare a ricevere i token degli eventi di sicurezza. Nella sezione successiva viene descritto come puoi testare la configurazione e l'endpoint dello stream per verificare che tutto funzioni correttamente.
Ottenere e aggiornare la configurazione attuale dello stream
Se in futuro vuoi modificare la configurazione dello stream, puoi farlo inviando una richiesta GET autorizzata a https://risc.googleapis.com/v1beta/stream per recuperare la configurazione corrente dello stream, modificando il corpo della risposta e inviando nuovamente la configurazione modificata a https://risc.googleapis.com/v1beta/stream:update come descritto sopra.
Interrompere e riprendere lo stream di eventi
Se devi interrompere lo stream di eventi da Google, invia una richiesta POST autorizzata a https://risc.googleapis.com/v1beta/stream/status:update con { "status": "disabled" } nel corpo della richiesta. Quando lo stream è disattivato, Google non invia eventi al tuo endpoint e non mette in coda gli eventi di sicurezza quando si verificano. Per riattivare lo stream di eventi, invia { "status": "enabled" } allo stesso endpoint.
3. (Facoltativo) Testare la configurazione dello stream
Puoi verificare che la configurazione dello stream e l'endpoint del destinatario funzionino correttamente inviando un token di verifica tramite lo stream di eventi. Questo token può contenere una stringa univoca che puoi utilizzare per verificare che il token sia stato ricevuto nel tuo endpoint. Per utilizzare questo flusso, assicurati di eseguire l'iscrizione al tipo di evento https://schemas.openid.net/secevent/risc/event-type/verification quando registri il tuo destinatario.
Per richiedere un token di verifica, invia una richiesta POST HTTPS autorizzata a
https://risc.googleapis.com/v1beta/stream:verify. Nel corpo della richiesta, specifica una stringa di identificazione:
{
"state": "ANYTHING"
}
Ad esempio:
Java
public static void testEventStream(final String stateString,
String authToken) throws IOException {
ObjectMapper jsonMapper = new ObjectMapper();
String json = jsonMapper.writeValueAsString(new Object() {
public String state = stateString;
});
HttpPost updateRequest = new HttpPost("https://risc.googleapis.com/v1beta/stream:verify");
updateRequest.addHeader("Content-Type", "application/json");
updateRequest.addHeader("Authorization", "Bearer " + authToken);
updateRequest.setEntity(new StringEntity(json));
HttpResponse updateResponse = new DefaultHttpClient().execute(updateRequest);
Header[] responseContentTypeHeaders = updateResponse.getHeaders("Content-Type");
StatusLine responseStatus = updateResponse.getStatusLine();
int statusCode = responseStatus.getStatusCode();
HttpEntity entity = updateResponse.getEntity();
// Now handle response
}
// ...
testEventStream("Test token requested at " + new Date().toString(), authToken);
Python
import requests
import time
def test_event_stream(auth_token, nonce):
stream_verify_endpoint = 'https://risc.googleapis.com/v1beta/stream:verify'
headers = {'Authorization': 'Bearer {}'.format(auth_token)}
state = {'state': nonce}
response = requests.post(stream_verify_endpoint, json=state, headers=headers)
response.raise_for_status() # Raise exception for unsuccessful requests
test_event_stream(auth_token, 'Test token requested at {}'.format(time.ctime()))
Se la richiesta va a buon fine, il token di verifica verrà inviato all'endpoint registrato. Ad esempio, se il tuo endpoint gestisce i token di verifica registrandoli semplicemente, puoi esaminare i log per confermare che il token sia stato ricevuto.
Messaggio del codice di errore
L'API RISC può restituire i seguenti errori:
| Codice di errore | Messaggio di errore | Azioni suggerite |
|---|---|---|
| 400 | La configurazione dello stream deve contenere il campo $fieldname. | La tua richiesta all'endpoint https://risc.googleapis.com/v1beta/stream:update non è valida o non può essere analizzata. Includi $fieldname nella richiesta. |
| 401 | Non autorizzato. | Autorizzazione non riuscita. Assicurati di aver allegato un token di autorizzazione alla richiesta e che il token sia valido e non sia scaduto. |
| 403 | L'endpoint di importazione deve essere un URL HTTPS. | L'endpoint di recapito (ovvero l'endpoint a cui prevedi di inviare gli eventi RISC) deve essere HTTPS. Non inviamo eventi RISC agli URL HTTP. |
| 403 | La configurazione dello stream esistente non ha un metodo di caricamento conforme alle specifiche per RISC. | Il progetto Google Cloud deve già avere una configurazione RISC. Se utilizzi Firebase e hai attivato Accedi con Google, sarà Firebase a gestire RISC per il tuo progetto. Non potrai creare una configurazione personalizzata. Se non utilizzi Accedi con Google per il tuo progetto Firebase, disattivalo e riprova ad aggiornare dopo un'ora. |
| 403 | Impossibile trovare il progetto. | Assicurati di utilizzare l'account di servizio corretto per il progetto corretto. Potresti utilizzare un service account associato a un progetto eliminato. Scopri come visualizzare tutti gli account di servizio associati a un progetto. |
| 403 | L'account di servizio deve disporre dell'autorizzazione per accedere alla configurazione del RISC | Vai al progetto API Console e
assegna il ruolo "Amministratore di configurazione RISC "
(roles/riscconfigs.admin)
all'account di servizio che effettua le chiamate al progetto volgendo
conto di
queste istruzioni.
|
| 403 | Le API di gestione degli stream devono essere chiamate solo da un account di servizio. | Di seguito sono riportate ulteriori informazioni su come chiamare le API Google con un service account. |
| 403 | L'endpoint di importazione non appartiene a nessuno dei domini del tuo progetto. | Ogni progetto ha un insieme di domini autorizzati. Se l'endpoint di importazione (ovvero l'endpoint a cui prevedi di eseguire l'importazione degli eventi RISC) non è ospitato su uno di questi, ti invitiamo ad aggiungere il dominio dell'endpoint all'insieme. |
| 403 | Per utilizzare questa API, il progetto deve avere almeno un client OAuth configurato. | RISC funziona solo se crei un'app che supporta Accedi con Google. Questa connessione richiede un client OAuth. Se il tuo progetto non ha client OAuth, è probabile che RISC non sia utile per te. Scopri di più su come Google utilizza OAuth per le proprie API. |
| 403 |
Stato non supportato. Stato non valido. |
Al momento supportiamo solo gli stati dello stream "enabled" e
"disabled". |
| 404 |
Il progetto non ha configurazione RISC. Il progetto non ha una configurazione RISC esistente, non è possibile aggiornare lo stato. |
Chiama l'endpoint https://risc.googleapis.com/v1beta/stream:update per creare una nuova configurazione dello stream. |
| 4XX/5XX | Impossibile aggiornare lo stato. | Per saperne di più, controlla il messaggio di errore dettagliato. |
Ambiti dei token di accesso
Se decidi di utilizzare i token di accesso per l'autenticazione all'API RISC, questi sono gli ambiti che la tua applicazione deve richiedere:
| Endpoint | Ambito |
|---|---|
https://risc.googleapis.com/v1beta/stream/status |
https://www.googleapis.com/auth/risc.status.readonly
OPPURE https://www.googleapis.com/auth/risc.status.readwrite |
https://risc.googleapis.com/v1beta/stream/status:update |
https://www.googleapis.com/auth/risc.status.readwrite |
https://risc.googleapis.com/v1beta/stream |
https://www.googleapis.com/auth/risc.configuration.readonly
OPPURE https://www.googleapis.com/auth/risc.configuration.readwrite
|
https://risc.googleapis.com/v1beta/stream:update |
https://www.googleapis.com/auth/risc.configuration.readwrite |
https://risc.googleapis.com/v1beta/stream:verify |
https://www.googleapis.com/auth/risc.verify |
Serve aiuto?
Innanzitutto, consulta la sezione Riferimento ai codici di errore. Se hai ancora domande, pubblicale su Stack Overflow con il tag #SecEvents.