Xác minh yêu cầu từ Google Chat

Đối với các ứng dụng Google Chat được xây dựng trên điểm cuối HTTP, mục này giải thích cách xác minh rằng các yêu cầu gửi đến điểm cuối của bạn đến từ Chat.

Để gửi các sự kiện tương tác đến ứng dụng Chat điểm cuối, Google sẽ gửi yêu cầu đến dịch vụ của bạn. Để xác minh rằng yêu cầu của Google, Chat bao gồm mã thông báo mang trong tiêu đề Authorization của mọi yêu cầu HTTPS đến điểm cuối của bạn. Ví dụ:

POST
Host: yourappurl.com
Authorization: Bearer AbCdEf123456
Content-Type: application/json
User-Agent: Google-Dynamite

Chuỗi AbCdEf123456 trong ví dụ trước là sự uỷ quyền hàm mang mã thông báo. Đây là mã thông báo mật mã do Google tạo ra. Loại phương thức mang và giá trị của mã audience phụ thuộc vào loại đối tượng xác thực mà bạn đã chọn khi định cấu hình ứng dụng Chat.

Nếu bạn đã triển khai ứng dụng Chat bằng Đám mây Các hàm hoặc Cloud Run, Cloud IAM sẽ tự động xử lý việc xác minh mã thông báo. Bạn chỉ cần thêm tài khoản dịch vụ Google Chat làm người gọi được uỷ quyền. Nếu ứng dụng của bạn triển khai máy chủ HTTP của riêng ứng dụng đó, thì bạn có thể xác minh mã thông báo của phương thức mang bằng thư viện ứng dụng Google API nguồn mở:

• Java: https://github.com/google/google-api-java-client
• Python: https://github.com/google/google-api-python-client
• Node.js: https://github.com/google/google-api-nodejs-client
• .NET: https://github.com/google/google-api-dotnet-client

Nếu mã thông báo không xác minh cho ứng dụng Chat, dịch vụ phải phản hồi yêu cầu bằng mã phản hồi HTTPS 401 (Unauthorized).

Xác thực yêu cầu bằng Cloud Functions hoặc Cloud Run

Nếu logic hàm của bạn được triển khai bằng Cloud Functions hoặc Cloud Run, bạn phải chọn App URL trong trường Đối tượng xác thực của ứng dụng Chat cài đặt kết nối và đảm bảo rằng URL ứng dụng trong cấu hình tương ứng với URL của Hàm đám mây hoặc điểm cuối Cloud Run.

Sau đó, bạn cần cấp quyền cho tài khoản dịch vụ Google Chat chat@system.gserviceaccount.com làm phương thức gọi.

Các bước sau đây cho biết cách sử dụng Cloud Functions (thế hệ thứ 1):

gcloud functions add-iam-policy-binding RECEIVING_FUNCTION \
  --member='serviceAccount:chat@system.gserviceaccount.com' \
  --role='roles/cloudfunctions.invoker'

Các bước sau đây cho biết cách sử dụng Cloud Functions (thế hệ thứ 2) hoặc dịch vụ Cloud Run:

gcloud functions add-invoker-policy-binding RECEIVING_FUNCTION \
  --member='serviceAccount:chat@system.gserviceaccount.com'

Xác thực yêu cầu bằng Mã thông báo mã nhận dạng URL ứng dụng

Nếu trường Đối tượng xác thực của ứng dụng Chat chế độ cài đặt kết nối được đặt thành App URL, mã thông báo uỷ quyền người dùng trong yêu cầu là một OpenID Connect do Google ký Mã thông báo giá trị nhận dạng (OIDC). Trường email được đặt thành chat@system.gserviceaccount.com. Trường audience được đặt thành URL mà bạn đã định cấu hình để Google Chat gửi gửi đến ứng dụng Chat. Ví dụ: nếu điểm cuối được định cấu hình của ứng dụng Chat là https://example.com/app/, thì trường audience trong mã thông báo mã nhận dạng là https://example.com/app/.

Các mẫu sau đây minh hoạ cách xác minh rằng mã thông báo mang được phát hành bởi Google Chat và nhắm đến ứng dụng của bạn bằng thư viện ứng dụng OAuth của Google.

String CHAT_ISSUER = "chat@system.gserviceaccount.com";
JsonFactory factory = JacksonFactory.getDefaultInstance();

GoogleIdTokenVerifier verifier =
    new GoogleIdTokenVerifier.Builder(new ApacheHttpTransport(), factory)
        .setAudience(Collections.singletonList(AUDIENCE))
        .build();

GoogleIdToken idToken = GoogleIdToken.parse(factory, bearer);
return idToken != null
    && verifier.verify(idToken)
    && idToken.getPayload().getEmailVerified()
    && idToken.getPayload().getEmail().equals(CHAT_ISSUER);

# Bearer Tokens received by apps will always specify this issuer.
CHAT_ISSUER = 'chat@system.gserviceaccount.com'

try:
    # Verify valid token, signed by CHAT_ISSUER, intended for a third party.
    request = requests.Request()
    token = id_token.verify_oauth2_token(bearer, request, AUDIENCE)
    return token['email'] == CHAT_ISSUER

except:
    return False

// Bearer Tokens received by apps will always specify this issuer.
const chatIssuer = 'chat@system.gserviceaccount.com';

// Verify valid token, signed by chatIssuer, intended for a third party.
try {
  const ticket = await client.verifyIdToken({
    idToken: bearer,
    audience: audience
  });
  return ticket.getPayload().email_verified
      && ticket.getPayload().email === chatIssuer;
} catch (unused) {
  return false;
}

Xác thực yêu cầu bằng Mã số dự án JWT

Nếu trường Đối tượng xác thực của ứng dụng Chat chế độ cài đặt kết nối được đặt thành Project Number, mã thông báo uỷ quyền truyền tải trong yêu cầu là mã tự ký Mã thông báo web JSON (JWT), do chat@system.gserviceaccount.com phát hành và ký. Trường audience được đặt thành số dự án trên Google Cloud mà bạn sử dụng để tạo ứng dụng Chat. Ví dụ: nếu Số dự án trên đám mây của ứng dụng Chat là 1234567890, thì trường audience trong JWT là 1234567890.

Các mẫu sau đây minh hoạ cách xác minh rằng mã thông báo mang được phát hành bởi Google Chat và nhắm đến dự án của bạn bằng thư viện ứng dụng OAuth của Google.

String CHAT_ISSUER = "chat@system.gserviceaccount.com";
JsonFactory factory = JacksonFactory.getDefaultInstance();

GooglePublicKeysManager keyManagerBuilder =
    new GooglePublicKeysManager.Builder(new ApacheHttpTransport(), factory)
        .setPublicCertsEncodedUrl(
            "https://www.googleapis.com/service_accounts/v1/metadata/x509/" + CHAT_ISSUER)
        .build();

GoogleIdTokenVerifier verifier =
    new GoogleIdTokenVerifier.Builder(keyManagerBuilder).setIssuer(CHAT_ISSUER).build();

GoogleIdToken idToken = GoogleIdToken.parse(factory, bearer);
return idToken != null
    && verifier.verify(idToken)
    && idToken.verifyAudience(Collections.singletonList(AUDIENCE))
    && idToken.verifyIssuer(CHAT_ISSUER);

# Bearer Tokens received by apps will always specify this issuer.
CHAT_ISSUER = 'chat@system.gserviceaccount.com'

try:
    # Verify valid token, signed by CHAT_ISSUER, intended for a third party.
    request = requests.Request()
    certs_url = 'https://www.googleapis.com/service_accounts/v1/metadata/x509/' + CHAT_ISSUER
    token = id_token.verify_token(bearer, request, AUDIENCE, certs_url)
    return token['iss'] == CHAT_ISSUER

except:
    return False

// Bearer Tokens received by apps will always specify this issuer.
const chatIssuer = 'chat@system.gserviceaccount.com';

// Verify valid token, signed by CHAT_ISSUER, intended for a third party.
try {
  const response = await fetch('https://www.googleapis.com/service_accounts/v1/metadata/x509/' + chatIssuer);
  const certs = await response.json();
  await client.verifySignedJwtWithCertsAsync(
    bearer, certs, audience, [chatIssuer]);
  return true;
} catch (unused) {
  return false;
}

Chủ đề có liên quan

• Để biết thông tin tổng quan về tính năng xác thực và uỷ quyền trong Google Workspace, xem Tìm hiểu về tính năng xác thực và uỷ quyền.
• Để biết thông tin tổng quan về việc xác thực và uỷ quyền trong Chat, xem Tổng quan về việc xác thực.
• Thiết lập tính năng xác thực và uỷ quyền bằng thông tin đăng nhập của người dùng hoặc tài khoản dịch vụ.