ยืนยันคำขอจาก Google Chat

สำหรับแอปที่สร้างขึ้นด้วยปลายทาง HTTP หัวข้อนี้จะอธิบายวิธีตรวจสอบว่าคำขอที่ส่งไปยังปลายทางมาจาก Chat หรือไม่

Google จะส่งคำขอไปยังบริการของคุณเพื่อส่งเหตุการณ์การโต้ตอบไปยังปลายทางของแอป Chat Chat จะมีโทเค็นสำหรับผู้ถือในส่วนหัว Authorization ของคำขอ HTTPS ทุกรายการที่ส่งไปยังปลายทางของคุณเพื่อยืนยันว่าคำขอนั้นมาจาก Google เช่น

POST
Host: yourappurl.com
Authorization: Bearer AbCdEf123456
Content-Type: application/json
User-Agent: Google-Dynamite

สตริง AbCdEf123456 ในตัวอย่างก่อนหน้านี้คือโทเค็นการให้สิทธิ์สำหรับผู้ถือ นี่คือโทเค็นการเข้ารหัสที่ Google สร้างขึ้น คุณสามารถยืนยันโทเค็นสำหรับผู้ถือได้โดยใช้ไลบรารีของไคลเอ็นต์ Google API แบบโอเพนซอร์ส

สำหรับโทเค็นสำหรับผู้ถือที่ส่งในคำขอ Chat ผู้ออกบัตรคือ chat@system.gserviceaccount.com และตั้งค่าช่อง audience เป็นจำนวนโปรเจ็กต์ Google Cloud ที่คุณใช้สร้างแอป Chat เช่น หากหมายเลขโปรเจ็กต์ Cloud ของแอป Chat คือ 1234567890 ช่อง audience ในโทเค็นสำหรับผู้ถือจะเป็น 1234567890

หากโทเค็นไม่ยืนยันสำหรับแอป Chat บริการของคุณควรตอบกลับคำขอด้วยรหัสตอบกลับ HTTPS 401 (Unauthorized)

Java

import java.io.IOException;
import java.security.GeneralSecurityException;
import java.util.Collections;

import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;
import com.google.api.client.googleapis.auth.oauth2.GooglePublicKeysManager;
import com.google.api.client.http.apache.ApacheHttpTransport;
import com.google.api.client.json.gson.GsonFactory;
import com.google.api.client.json.JsonFactory;

/** Tool for verifying JWT Tokens for Apps in Google Chat. */
public class JWTVerify {
 // Bearer Tokens received by apps will always specify this issuer.
 static String CHAT_ISSUER = "chat@system.gserviceaccount.com";

 // Url to obtain the public certificate for the issuer.
 static String PUBLIC_CERT_URL_PREFIX =
   "https://www.googleapis.com/service_accounts/v1/metadata/x509/";

 // Intended audience of the token, which is the project number of the app.
 static String AUDIENCE = "1234567890";

 // Get this value from the request's Authorization HTTPS header.
 // For example, for "Authorization: Bearer AbCdEf123456" use "AbCdEf123456"
 static String BEARER_TOKEN = "AbCdEf123456";

 public static void main(String[] args) throws GeneralSecurityException, IOException {
  JsonFactory factory = new GsonFactory();

  GooglePublicKeysManager.Builder keyManagerBuilder =
    new GooglePublicKeysManager.Builder(new ApacheHttpTransport(), factory);

  String certUrl = PUBLIC_CERT_URL_PREFIX + CHAT_ISSUER;
  keyManagerBuilder.setPublicCertsEncodedUrl(certUrl);

  GoogleIdTokenVerifier.Builder verifierBuilder =
    new GoogleIdTokenVerifier.Builder(keyManagerBuilder.build());
  verifierBuilder.setIssuer(CHAT_ISSUER);
  GoogleIdTokenVerifier verifier = verifierBuilder.build();

  GoogleIdToken idToken = GoogleIdToken.parse(factory, BEARER_TOKEN);
  if (idToken == null) {
   System.out.println("Token cannot be parsed");
   System.exit(-1);
  }

  // Verify valid token, signed by CHAT_ISSUER, intended for a third party.
  if (!verifier.verify(idToken)
    || !idToken.verifyAudience(Collections.singletonList(AUDIENCE))
    || !idToken.verifyIssuer(CHAT_ISSUER)) {
   System.out.println("Invalid token");
   System.exit(-1);
  }

  // Token originates from Google and is targeted to a specific client.
  System.out.println("The token is valid");
 }
}

Python

import sys

from google.oauth2 import id_token
from google.auth.transport import requests

# Bearer Tokens received by apps will always specify this issuer.
CHAT_ISSUER = 'chat@system.gserviceaccount.com'

# Url to obtain the public certificate for the issuer.
PUBLIC_CERT_URL_PREFIX = 'https://www.googleapis.com/service_accounts/v1/metadata/x509/'

# Intended audience of the token, which will be the project number of the app.
AUDIENCE = '1234567890'

# Get this value from the request's Authorization HTTPS header.
# For example, for 'Authorization: Bearer AbCdEf123456' use 'AbCdEf123456'.
BEARER_TOKEN = 'AbCdEf123456'

try:
 # Verify valid token, signed by CHAT_ISSUER, intended for a third party.
 request = requests.Request()
 certs_url = PUBLIC_CERT_URL_PREFIX + CHAT_ISSUER
 token = id_token.verify_token(BEARER_TOKEN, request, AUDIENCE, certs_url)

 if token['iss'] != CHAT_ISSUER:
  sys.exit('Invalid issuer')
except:
 sys.exit('Invalid token')

# Token originates from Google and is targeted to a specific client.
print('The token is valid')

Node.js

import fetch from 'node-fetch';
import {OAuth2Client} from 'google-auth-library';

// Bearer Tokens received by apps will always specify this issuer.
const CHAT_ISSUER = 'chat@system.gserviceaccount.com';

// Url to obtain the public certificate for the issuer.
const PUBLIC_CERT_URL_PREFIX =
  'https://www.googleapis.com/service_accounts/v1/metadata/x509/';

// Intended audience of the token, which is the project number of the app.
const AUDIENCE = '1234567890';

// Get this value from the request's Authorization HTTPS header.
// For example, for "Authorization: Bearer AbCdEf123456" use "AbCdEf123456"
const BEARER_TOKEN = 'AbCdEf123456';

const client = new OAuth2Client();

/** Verifies JWT Tokens for Apps in Google Chat. */
async function verify() {
 // Verify valid token, signed by CHAT_ISSUER, intended for a third party.
 try {
  const response = await fetch(PUBLIC_CERT_URL_PREFIX + CHAT_ISSUER);
  const certs = await response.json();
  const ticket = await client.verifySignedJwtWithCertsAsync(
    BEARER_TOKEN, certs, AUDIENCE, [CHAT_ISSUER]);
 } catch (unused) {
  console.error('Invalid token');
  process.exit(1);
 }

 // Token originates from Google and is targeted to a specific client.
 console.log('The token is valid');
}

verify();