Google Chat からのリクエストを確認する

このセクションでは、HTTP エンドポイント上に構築された Google Chat アプリに対して、 エンドポイントへのリクエストが Chat から送信されたものであることを確認できます。

インタラクション イベントを Chat アプリの Google がサービスにリクエストを送信します。リクエストが Google から送信されたことを確認するため、Chat では、エンドポイントへのすべての HTTPS リクエストの Authorization ヘッダーにベアラ トークンが含まれています。次に例を示します。

POST
Host: yourappurl.com
Authorization: Bearer AbCdEf123456
Content-Type: application/json
User-Agent: Google-Dynamite

上記の例の文字列 AbCdEf123456 は、署名なし認証です。 あります。これは Google が生成する暗号トークンです。ベアラ トークンのタイプと audience フィールドの値は、Chat アプリの構成時に選択した認証オーディエンスのタイプによって異なります。

Cloud NAT を使用して Chat 用アプリを実装している場合は、 Cloud IAM では、トークンの検証が自動的に処理されます。承認済み呼び出し元として Google Chat サービス アカウントを追加するだけです。アプリに独自の HTTP サーバーを実装している場合は、署名なしトークンを検証できます。 オープンソースの Google API クライアント ライブラリを使用します。

トークンが Chat アプリの確認に合格しなかった場合、サービスは HTTPS レスポンス コード 401 (Unauthorized) でリクエストに応答する必要があります。

Cloud Functions または Cloud Run を使用してリクエストを認証する

関数のロジックを Cloud Functions または Cloud Run を使用して実装する場合は、 [Authentication Audience] フィールドで HTTP エンドポイント URL を選択する必要があります。 Chat アプリ 接続設定を変更して、 構成内の HTTP エンドポイント URL は、Cloud Functions の関数または Cloud Run エンドポイントです。

次に、Google Chat サービス アカウントを認証します。 起動元としての chat@system.gserviceaccount.com

次の手順は、Cloud Functions(第 1 世代)を使用する方法を示しています。

Console

関数を Google Cloud にデプロイした後:

  1. Google Cloud コンソールで、[Cloud Functions] ページに移動します。

    Cloud Functions に移動

  2. [Cloud Functions] リストで、受信側 使用します。(関数自体はクリックしないでください)。

  3. 画面の上部の [権限] をクリックします。[権限] パネルが開きます。

  4. [プリンシパルを追加] をクリックします。

  5. [新しいプリンシパル] フィールドに「chat@system.gserviceaccount.com」と入力します。

  6. [ロールを選択] プルダウン メニューから、[Cloud Functions] > [Cloud Functions 起動元] ロールを選択します。

  7. [保存] をクリックします。

gcloud

gcloud functions add-iam-policy-binding コマンドを使用します。

gcloud functions add-iam-policy-binding RECEIVING_FUNCTION \
  --member='serviceAccount:chat@system.gserviceaccount.com' \
  --role='roles/cloudfunctions.invoker'

RECEIVING_FUNCTION は、使用するプロジェクトの名前で置き換えます。 Chat アプリの機能。

次の手順は、Cloud Functions(第 2 世代)または Cloud Run サービスを使用する方法を示しています。

Console

関数またはサービスを Google Cloud にデプロイした後:

  1. Google Cloud コンソールで [Cloud Run] ページに移動します。

    Cloud Run に移動します

  2. Cloud Run サービスリストで、受信側関数の横にあるチェックボックスをオンにします(関数自体はクリックしないでください)。

  3. 画面の上部の [権限] をクリックします。[権限] パネルが開きます。

  4. [プリンシパルを追加] をクリックします。

  5. [新しいプリンシパル] フィールドに「chat@system.gserviceaccount.com」と入力します。

  6. ロール [Cloud Run] を選択 >Cloud Run 起動元 [ロールを選択] プルダウン メニュー。

  7. [保存] をクリックします。

gcloud

gcloud functions add-invoker-policy-binding コマンドを使用します。

gcloud functions add-invoker-policy-binding RECEIVING_FUNCTION \
  --member='serviceAccount:chat@system.gserviceaccount.com'

RECEIVING_FUNCTION は、Chat アプリの関数の名前に置き換えます。

ID トークンを使用して HTTP リクエストを認証する

Chat アプリの接続設定の認証オーディエンス フィールドが HTTP エンドポイント URL に設定されている場合、リクエスト内のベアラ認可トークンは、Google 署名付きの OpenID Connect(OIDC)ID トークンです。email フィールドが chat@system.gserviceaccount.com に設定されている。 [Authentication Audience] フィールドは、構成した URL に設定されます。 Chat 用アプリにリクエストを送信できます。 たとえば、構成済みのエンドポイントが Chat 用アプリが https://example.com/app/ の場合、 ID トークンの [Authentication Audience] フィールドは https://example.com/app/ です。

次のサンプルは、Google OAuth クライアント ライブラリを使用して、ベアラ トークンが Google Chat によって発行され、アプリを対象としていることを検証する方法を示しています。

Java

java/basic-app/src/main/java/com/google/chat/app/basic/App.java
String CHAT_ISSUER = "chat@system.gserviceaccount.com";
JsonFactory factory = JacksonFactory.getDefaultInstance();

GoogleIdTokenVerifier verifier =
    new GoogleIdTokenVerifier.Builder(new ApacheHttpTransport(), factory)
        .setAudience(Collections.singletonList(AUDIENCE))
        .build();

GoogleIdToken idToken = GoogleIdToken.parse(factory, bearer);
return idToken != null
    && verifier.verify(idToken)
    && idToken.getPayload().getEmailVerified()
    && idToken.getPayload().getEmail().equals(CHAT_ISSUER);

Python

python/basic-app/main.py
# Bearer Tokens received by apps will always specify this issuer.
CHAT_ISSUER = 'chat@system.gserviceaccount.com'

try:
    # Verify valid token, signed by CHAT_ISSUER, intended for a third party.
    request = requests.Request()
    token = id_token.verify_oauth2_token(bearer, request, AUDIENCE)
    return token['email'] == CHAT_ISSUER

except:
    return False

Node.js

node/basic-app/index.js
// Bearer Tokens received by apps will always specify this issuer.
const chatIssuer = 'chat@system.gserviceaccount.com';

// Verify valid token, signed by chatIssuer, intended for a third party.
try {
  const ticket = await client.verifyIdToken({
    idToken: bearer,
    audience: audience
  });
  return ticket.getPayload().email_verified
      && ticket.getPayload().email === chatIssuer;
} catch (unused) {
  return false;
}

プロジェクト番号 JWT を使用してリクエストを認証する

Chat アプリの [Authentication Audience] フィールドが 接続設定Project Number に設定されている場合、リクエスト内の署名なし認証トークンは自己署名トークンです。 JSON Web Token(JWT) chat@system.gserviceaccount.com によって発行され、署名されました。 audience フィールドは、使用した Google Cloud プロジェクト番号に設定されます。 Chat 用アプリをビルドできます。たとえば、 Chat アプリの Cloud プロジェクト番号: 1234567890 の場合、JWT の audience フィールドは 1234567890 です。

次のサンプルは、署名なしトークンが発行されたことを確認する方法を示しています。 Google Chat を作成し、Google OAuth クライアント ライブラリを使用してプロジェクトをターゲットに設定します。

Java

java/basic-app/src/main/java/com/google/chat/app/basic/App.java
String CHAT_ISSUER = "chat@system.gserviceaccount.com";
JsonFactory factory = JacksonFactory.getDefaultInstance();

GooglePublicKeysManager keyManagerBuilder =
    new GooglePublicKeysManager.Builder(new ApacheHttpTransport(), factory)
        .setPublicCertsEncodedUrl(
            "https://www.googleapis.com/service_accounts/v1/metadata/x509/" + CHAT_ISSUER)
        .build();

GoogleIdTokenVerifier verifier =
    new GoogleIdTokenVerifier.Builder(keyManagerBuilder).setIssuer(CHAT_ISSUER).build();

GoogleIdToken idToken = GoogleIdToken.parse(factory, bearer);
return idToken != null
    && verifier.verify(idToken)
    && idToken.verifyAudience(Collections.singletonList(AUDIENCE))
    && idToken.verifyIssuer(CHAT_ISSUER);

Python

python/basic-app/main.py
# Bearer Tokens received by apps will always specify this issuer.
CHAT_ISSUER = 'chat@system.gserviceaccount.com'

try:
    # Verify valid token, signed by CHAT_ISSUER, intended for a third party.
    request = requests.Request()
    certs_url = 'https://www.googleapis.com/service_accounts/v1/metadata/x509/' + CHAT_ISSUER
    token = id_token.verify_token(bearer, request, AUDIENCE, certs_url)
    return token['iss'] == CHAT_ISSUER

except:
    return False

Node.js

node/basic-app/index.js
// Bearer Tokens received by apps will always specify this issuer.
const chatIssuer = 'chat@system.gserviceaccount.com';

// Verify valid token, signed by CHAT_ISSUER, intended for a third party.
try {
  const response = await fetch('https://www.googleapis.com/service_accounts/v1/metadata/x509/' + chatIssuer);
  const certs = await response.json();
  await client.verifySignedJwtWithCertsAsync(
    bearer, certs, audience, [chatIssuer]);
  return true;
} catch (unused) {
  return false;
}