Verifica las solicitudes de Google Chat

En el caso de las apps de Google Chat compiladas en extremos HTTP, en esta sección, se explica cómo verificar que las solicitudes a tu extremo provengan de Chat.

Para enviar eventos de interacción al extremo de tu app de Chat, Google realiza solicitudes a tu servicio. Para verificar que la solicitud provenga de Google, Chat incluye un token de portador en el encabezado Authorization de cada solicitud HTTPS a tu extremo. Por ejemplo:

POST
Host: yourappurl.com
Authorization: Bearer AbCdEf123456
Content-Type: application/json
User-Agent: Google-Dynamite

La cadena AbCdEf123456 en el ejemplo anterior es el token de autorización de portador. Es un token criptográfico producido por Google. El tipo de token de portador y el valor del campo audience dependen del tipo de público de autenticación que seleccionaste cuando configuraste la app de Chat.

Si implementaste tu app de Chat con Cloud Run Functions, Cloud IAM controla la verificación de tokens de forma automática. Debes agregar la cuenta de servicio de Google Chat como un invocador autorizado. Si tu app implementa su propio servidor HTTP, puedes verificar tu token del portador con una biblioteca cliente de la API de Google de código abierto :

• Java: https://github.com/google/google-api-java-client
• Python: https://github.com/google/google-api-python-client
• Node.js: https://github.com/google/google-api-nodejs-client
• .NET: https://github.com/google/google-api-dotnet-client

Si el token no se verifica para la app de Chat, tu servicio debe responder a la solicitud con un código de respuesta HTTPS 401 (Unauthorized).

Autentica solicitudes con Cloud Run Functions

Si la lógica de tu función se implementa con Cloud Run Functions, debes seleccionar URL del extremo HTTP en el campo Público de autenticación de la configuración de conexión de la app de Chat y asegurarte de que la URL del extremo HTTP en la configuración corresponda a la URL del extremo de la función de Cloud Run.

Luego, debes autorizar la cuenta de servicio de Google Chat chat@system.gserviceaccount.com como un invocador con los siguientes pasos:

gcloud functions add-invoker-policy-binding RECEIVING_FUNCTION \
  --member='serviceAccount:chat@system.gserviceaccount.com'

Autentica solicitudes HTTP con un token de ID

Si el campo Público de autenticación de la configuración de conexión de la app de Chat está configurado como URL del extremo HTTP, el token de autorización de portador en la solicitud es un token de ID de OpenID Connect (OIDC) firmado por Google. El campo email está configurado como chat@system.gserviceaccount.com. El campo Público de autenticación está configurado en la URL que configuraste para que Google Chat envíe solicitudes a tu app de Chat. Por ejemplo, si el extremo configurado de tu app de Chat es https://example.com/app/, el campo Público de autenticación en el token de ID eshttps://example.com/app/.

Este es el método de autenticación recomendado si tu extremo HTTP no está alojado en un servicio que admita la autenticación basada en IAM (como Cloud Run). Con este método, tu servicio HTTP necesita información sobre la URL del extremo en el que se ejecuta, pero no necesita información sobre el número de proyecto de Cloud.

En los siguientes ejemplos, se muestra cómo verificar que el token del portador se emitió desde Google Chat y se orientó a tu app con la biblioteca cliente de Google OAuth.

String CHAT_ISSUER = "chat@system.gserviceaccount.com";
JsonFactory factory = JacksonFactory.getDefaultInstance();

GoogleIdTokenVerifier verifier =
    new GoogleIdTokenVerifier.Builder(new ApacheHttpTransport(), factory)
        .setAudience(Collections.singletonList(AUDIENCE))
        .build();

GoogleIdToken idToken = GoogleIdToken.parse(factory, bearer);
return idToken != null
    && verifier.verify(idToken)
    && idToken.getPayload().getEmailVerified()
    && idToken.getPayload().getEmail().equals(CHAT_ISSUER);

# Bearer Tokens received by apps will always specify this issuer.
CHAT_ISSUER = 'chat@system.gserviceaccount.com'

try:
    # Verify valid token, signed by CHAT_ISSUER, intended for a third party.
    request = requests.Request()
    token = id_token.verify_oauth2_token(bearer, request, AUDIENCE)
    return token['email'] == CHAT_ISSUER

except:
    return False

// Bearer Tokens received by apps will always specify this issuer.
const chatIssuer = 'chat@system.gserviceaccount.com';

// Verify valid token, signed by chatIssuer, intended for a third party.
try {
  const ticket = await client.verifyIdToken({
    idToken: bearer,
    audience: audience
  });
  return ticket.getPayload().email_verified
      && ticket.getPayload().email === chatIssuer;
} catch (unused) {
  return false;
}

Autentica solicitudes con un JWT de número de proyecto

Si el campo Público de autenticación de la app de Chat configuración de conexión está configurado como Project Number, el token de autorización de portador en la solicitud es un token web JSON (JWT) autofirmado, emitido y firmado por chat@system.gserviceaccount.com. El campo audience está configurado como el número de proyecto de Google Cloud que usaste para compilar tu app de Chat. Por ejemplo, si el número de proyecto de Cloud de tu app de Chat es 1234567890, el campo audience en el JWT es 1234567890.

Este método de autenticación solo se recomienda si prefieres usar el número de proyecto de Cloud para verificar las solicitudes en lugar de la URL del extremo HTTP. Por ejemplo, si deseas cambiar la URL del extremo con el tiempo y mantener el mismo número de proyecto de Cloud, o si deseas usar el mismo extremo para varios números de proyecto de Cloud y comparar el campo audience con una lista de números de proyecto de Cloud.

En los siguientes ejemplos, se muestra cómo verificar que el token del portador se emitió desde Google Chat y se orientó a tu proyecto con la biblioteca cliente de Google OAuth.

String CHAT_ISSUER = "chat@system.gserviceaccount.com";
JsonFactory factory = JacksonFactory.getDefaultInstance();

GooglePublicKeysManager keyManagerBuilder =
    new GooglePublicKeysManager.Builder(new ApacheHttpTransport(), factory)
        .setPublicCertsEncodedUrl(
            "https://www.googleapis.com/service_accounts/v1/metadata/x509/" + CHAT_ISSUER)
        .build();

GoogleIdTokenVerifier verifier =
    new GoogleIdTokenVerifier.Builder(keyManagerBuilder).setIssuer(CHAT_ISSUER).build();

GoogleIdToken idToken = GoogleIdToken.parse(factory, bearer);
return idToken != null
    && verifier.verify(idToken)
    && idToken.verifyAudience(Collections.singletonList(AUDIENCE))
    && idToken.verifyIssuer(CHAT_ISSUER);

# Bearer Tokens received by apps will always specify this issuer.
CHAT_ISSUER = 'chat@system.gserviceaccount.com'

try:
    # Verify valid token, signed by CHAT_ISSUER, intended for a third party.
    request = requests.Request()
    certs_url = 'https://www.googleapis.com/service_accounts/v1/metadata/x509/' + CHAT_ISSUER
    token = id_token.verify_token(bearer, request, AUDIENCE, certs_url)
    return token['iss'] == CHAT_ISSUER

except:
    return False

// Bearer Tokens received by apps will always specify this issuer.
const chatIssuer = 'chat@system.gserviceaccount.com';

// Verify valid token, signed by CHAT_ISSUER, intended for a third party.
try {
  const response = await fetch('https://www.googleapis.com/service_accounts/v1/metadata/x509/' + chatIssuer);
  const certs = await response.json();
  await client.verifySignedJwtWithCertsAsync(
    bearer, certs, audience, [chatIssuer]);
  return true;
} catch (unused) {
  return false;
}

Temas relacionados

• Para obtener una descripción general de la autenticación y la autorización en Google Workspace, consulta Obtén información sobre la autenticación y la autorización.
• Para obtener una descripción general de la autenticación y la autorización en Chat, consulta Descripción general de la autenticación.
• Configura la autenticación y la autorización con credenciales de usuario o una cuenta de servicio.