Verificar solicitações do Google Chat

Para apps do Google Chat criados em endpoints HTTP, esta seção explica como verificar se as solicitações para o endpoint vêm do Chat.

Para enviar eventos de interação ao endpoint do app do Chat, o Google faz solicitações ao serviço. Para verificar se a solicitação vem do Google, o Chat inclui um token do portador no cabeçalho Authorization de cada solicitação HTTPS para o endpoint. Por exemplo:

POST
Host: yourappurl.com
Authorization: Bearer AbCdEf123456
Content-Type: application/json
User-Agent: Google-Dynamite

A string AbCdEf123456 no exemplo anterior é o token de autorização de portador. É um token criptográfico produzido pelo Google. O tipo de token de portador e o valor do campo audience dependem do tipo de público-alvo de autenticação que você selecionou ao configurar o app Chat.

Se você implementou seu app do Chat usando o Cloud Functions ou o Cloud Run, o Cloud IAM processa a verificação de token automaticamente. Você só precisa adicionar a conta de serviço do Google Chat como um invocador autorizado. Se o app implementar o próprio servidor HTTP, você poderá verificar o token do portador usando uma biblioteca de cliente das APIs do Google de código aberto:

• Java: https://github.com/google/google-api-java-client
• Python: https://github.com/google/google-api-python-client
• Node.js: https://github.com/google/google-api-nodejs-client
• .NET: https://github.com/google/google-api-dotnet-client

Se o token não for verificado para o app do Chat, o serviço responderá à solicitação com um código de resposta HTTPS 401 (Unauthorized).

Autenticação de solicitações usando o Cloud Functions ou o Cloud Run

Se a lógica da função for implementada usando o Cloud Functions ou o Cloud Run, selecione URL do endpoint HTTP no campo Público-alvo de autenticação da configuração de conexão do app Chat e verifique se o URL do endpoint HTTP na configuração corresponde ao URL do endpoint do Cloud Function ou do Cloud Run.

Em seguida, autorize a conta de serviço do Google Chat chat@system.gserviceaccount.com como um invocador.

As etapas a seguir mostram como usar o Cloud Functions (1ª geração):

gcloud functions add-iam-policy-binding RECEIVING_FUNCTION \
  --member='serviceAccount:chat@system.gserviceaccount.com' \
  --role='roles/cloudfunctions.invoker'

As etapas a seguir mostram como usar os serviços do Cloud Functions (2ª geração) ou do Cloud Run:

gcloud functions add-invoker-policy-binding RECEIVING_FUNCTION \
  --member='serviceAccount:chat@system.gserviceaccount.com'

Autentique solicitações HTTP com um token de ID

Se o campo "Público de autenticação" da configuração de conexão do app do Chat estiver definido como URL do endpoint HTTP, o token de autorização do portador na solicitação será um token de ID do OpenID Connect (OIDC) assinado pelo Google. O campo email está definido como chat@system.gserviceaccount.com. O campo Público-alvo de autenticação é definido como o URL que você configurou no Google Chat para enviar solicitações ao seu app do Chat. Por exemplo, se o endpoint configurado do seu app do Chat for https://example.com/app/, o campo Público-alvo de autenticação no token de ID será https://example.com/app/.

Os exemplos a seguir mostram como verificar se o token de portador foi emitido pelo Google Chat e direcionado ao seu app usando a biblioteca de cliente OAuth do Google.

String CHAT_ISSUER = "chat@system.gserviceaccount.com";
JsonFactory factory = JacksonFactory.getDefaultInstance();

GoogleIdTokenVerifier verifier =
    new GoogleIdTokenVerifier.Builder(new ApacheHttpTransport(), factory)
        .setAudience(Collections.singletonList(AUDIENCE))
        .build();

GoogleIdToken idToken = GoogleIdToken.parse(factory, bearer);
return idToken != null
    && verifier.verify(idToken)
    && idToken.getPayload().getEmailVerified()
    && idToken.getPayload().getEmail().equals(CHAT_ISSUER);

# Bearer Tokens received by apps will always specify this issuer.
CHAT_ISSUER = 'chat@system.gserviceaccount.com'

try:
    # Verify valid token, signed by CHAT_ISSUER, intended for a third party.
    request = requests.Request()
    token = id_token.verify_oauth2_token(bearer, request, AUDIENCE)
    return token['email'] == CHAT_ISSUER

except:
    return False

// Bearer Tokens received by apps will always specify this issuer.
const chatIssuer = 'chat@system.gserviceaccount.com';

// Verify valid token, signed by chatIssuer, intended for a third party.
try {
  const ticket = await client.verifyIdToken({
    idToken: bearer,
    audience: audience
  });
  return ticket.getPayload().email_verified
      && ticket.getPayload().email === chatIssuer;
} catch (unused) {
  return false;
}

Autenticação de solicitações com um JWT de número de projeto

Se o campo "Authentication Audience" da configuração de conexão do app Chat estiver definido como Project Number, o token de autorização de portador na solicitação será um Token da Web JSON (JWT) autoassinado, emitido e assinado por chat@system.gserviceaccount.com. O campo audience é definido como o número do projeto do Google Cloud usado para criar o app Chat. Por exemplo, se o número do projeto do Cloud do app Chat for 1234567890, o campo audience no JWT será 1234567890.

Os exemplos a seguir mostram como verificar se o token de portador foi emitido pelo Google Chat e direcionado ao seu projeto usando a biblioteca de cliente OAuth do Google.

String CHAT_ISSUER = "chat@system.gserviceaccount.com";
JsonFactory factory = JacksonFactory.getDefaultInstance();

GooglePublicKeysManager keyManagerBuilder =
    new GooglePublicKeysManager.Builder(new ApacheHttpTransport(), factory)
        .setPublicCertsEncodedUrl(
            "https://www.googleapis.com/service_accounts/v1/metadata/x509/" + CHAT_ISSUER)
        .build();

GoogleIdTokenVerifier verifier =
    new GoogleIdTokenVerifier.Builder(keyManagerBuilder).setIssuer(CHAT_ISSUER).build();

GoogleIdToken idToken = GoogleIdToken.parse(factory, bearer);
return idToken != null
    && verifier.verify(idToken)
    && idToken.verifyAudience(Collections.singletonList(AUDIENCE))
    && idToken.verifyIssuer(CHAT_ISSUER);

# Bearer Tokens received by apps will always specify this issuer.
CHAT_ISSUER = 'chat@system.gserviceaccount.com'

try:
    # Verify valid token, signed by CHAT_ISSUER, intended for a third party.
    request = requests.Request()
    certs_url = 'https://www.googleapis.com/service_accounts/v1/metadata/x509/' + CHAT_ISSUER
    token = id_token.verify_token(bearer, request, AUDIENCE, certs_url)
    return token['iss'] == CHAT_ISSUER

except:
    return False

// Bearer Tokens received by apps will always specify this issuer.
const chatIssuer = 'chat@system.gserviceaccount.com';

// Verify valid token, signed by CHAT_ISSUER, intended for a third party.
try {
  const response = await fetch('https://www.googleapis.com/service_accounts/v1/metadata/x509/' + chatIssuer);
  const certs = await response.json();
  await client.verifySignedJwtWithCertsAsync(
    bearer, certs, audience, [chatIssuer]);
  return true;
} catch (unused) {
  return false;
}

Temas relacionados

• Para uma visão geral da autenticação e autorização no Google Workspace, consulte Saiba mais sobre autenticação e autorização.
• Para ter uma visão geral da autenticação e autorização no Chat, consulte Visão geral da autenticação.
• Configure a autenticação e a autorização com credenciais do usuário ou uma conta de serviço.