Proteja as contas de usuário com a Proteção entre contas

Se o app permitir que os usuários façam login nas contas usando o Google, você poderá melhorar a segurança dessas contas compartilhadas ouvindo e respondendo às notificações de eventos de segurança fornecidas pelo serviço de proteção entre contas.

Essas notificações alertam sobre mudanças importantes nas Contas do Google dos seus usuários, o que geralmente também pode ter implicações de segurança para as contas deles no seu app. Por exemplo, se a Conta do Google de um usuário for invadida, isso poderá levar à violação da conta dele no seu app por recuperação de conta de e-mail ou uso de login único.

Para ajudar você a reduzir o risco potencial desses eventos, o Google envia objetos de serviço chamados tokens de eventos de segurança. Esses tokens expõem pouquíssimas informações, apenas o tipo de evento de segurança e quando ele ocorreu, além do identificador do usuário afetado. No entanto, é possível usá-los para tomar as medidas adequadas em resposta. Por exemplo, se a Conta do Google de um usuário for comprometida, você poderá desativar temporariamente o recurso Fazer login com o Google para esse usuário e impedir que e-mails de recuperação de conta sejam enviados para o endereço do Gmail dele.

A proteção entre contas é baseada no padrão RISC, desenvolvido na OpenID Foundation.

Visão geral

Para usar a Proteção entre contas com seu app ou serviço, conclua as seguintes tarefas:

1. Configure seu projeto no API Console.

2. Crie um endpoint de receptor de eventos para que o Google envie tokens de eventos de segurança. Esse endpoint é responsável por validar os tokens recebidos e responder a eventos de segurança da maneira que você escolher.

3. Registre seu endpoint no Google para começar a receber tokens de eventos de segurança.

Pré-requisito

Você só recebe tokens de eventos de segurança para usuários do Google que concederam ao seu serviço permissão para acessar as informações de perfil ou endereços de e-mail deles. Para receber essa permissão, solicite os escopos profile ou email. Os SDKs mais recentes do Fazer login com o Google ou os legados do Login do Google solicitam esses escopos por padrão, mas se você não usar as configurações padrão ou acessar o endpoint OpenID Connect do Google diretamente, verifique se está solicitando pelo menos um desses escopos.

Configurar um projeto no API Console

Antes de começar a receber tokens de eventos de segurança, crie uma conta de serviço e ative a API RISC no seu projetoAPI Console . Você precisa usar o mesmo projetoAPI Console que usa para acessar serviços do Google, como o Login do Google, no seu app.

Para criar a conta de serviço:

1. Abra o API Console Credentials page. Quando solicitado, escolha o projeto do API Console que você usa para acessar os serviços do Google no seu app.

2. Clique em Criar credenciais > Conta de serviço.

3. Crie uma conta de serviço com a função de administrador de configuração RISC (roles/riscconfigs.admin) seguindo estas instruções.

4. Crie uma chave para a conta de serviço recém-criada. Escolha o tipo de chave JSON e clique em Criar. Quando a chave for criada, você vai baixar um arquivo JSON que contém as credenciais da sua conta de serviço. Mantenha esse arquivo em um local seguro, mas também acessível ao endpoint do receptor de eventos.

Na página "Credenciais" do projeto, anote também os IDs de cliente que você usa para o recurso Fazer login com o Google ou o Login do Google (legado). Normalmente, você tem um ID do cliente para cada plataforma compatível. Você vai precisar desses IDs de cliente para validar tokens de eventos de segurança, conforme descrito na próxima seção.

Para ativar a API RISC:

1. Abra a página da API RISC no API Console. Verifique se o projeto que você usa para acessar os Serviços do Google ainda está selecionado.

2. Leia os Termos do RISC e entenda os requisitos.

   Se você estiver ativando a API para um projeto de uma organização, verifique se tem autorização para vincular sua organização aos Termos do RISC.

3. Clique em Ativar somente se você concordar com os Termos do RISC.

Criar um endpoint de receptor de eventos

Para receber notificações de eventos de segurança do Google, crie um endpoint HTTPS que processe solicitações POST HTTPS. Depois de registrar esse endpoint (veja abaixo), o Google vai começar a postar strings assinadas criptograficamente chamadas de tokens de evento de segurança no endpoint. Os tokens de eventos de segurança são JWTs assinados que contêm informações sobre um único evento relacionado à segurança.

Para cada token de evento de segurança recebido no endpoint, primeiro valide e descodifique o token. Em seguida, processe o evento de segurança conforme apropriado para seu serviço. É essencial validar o token de evento antes da decodificação para evitar ataques maliciosos de usuários de má-fé. As seções a seguir descrevem essas tarefas:

1. Decodificar e validar o token de evento de segurança

Como os tokens de evento de segurança são um tipo específico de JWT, é possível usar qualquer biblioteca JWT, como uma listada em jwt.io, para decodificar e validar esses tokens. Qualquer que seja a biblioteca usada, o código de validação de token precisa fazer o seguinte:

1. Extraia o identificador do emissor da Proteção entre contas (issuer) e o URI do certificado da chave de assinatura (jwks_uri) do documento de configuração do RISC do Google, que pode ser encontrado em https://accounts.google.com/.well-known/risc-configuration.
2. Usando a biblioteca JWT de sua escolha, extraia o ID da chave de assinatura do cabeçalho do token de evento de segurança.
3. No documento do certificado da chave de assinatura do Google, encontre a chave pública com o ID da chave que você recebeu na etapa anterior. Se o documento não tiver uma chave com o ID que você está procurando, é provável que o token de evento de segurança seja inválido, e seu endpoint vai retornar o erro HTTP 400.
4. Usando a biblioteca JWT de sua escolha, verifique o seguinte:
   • O token de evento de segurança é assinado usando a chave pública que você recebeu na etapa anterior.
   • A declaração aud do token é um dos IDs de cliente dos seus apps.
   • A declaração iss do token corresponde ao identificador do emissor que você recebeu do documento de descoberta do RISC. Não é necessário verificar a expiração do token (exp), porque os tokens de eventos de segurança representam eventos históricos e, portanto, não expiram.

Exemplo:

public DecodedJWT validateSecurityEventToken(String token) {
    DecodedJWT jwt = null;
    try {
        // In a real implementation, get these values from
        // https://accounts.google.com/.well-known/risc-configuration
        String issuer = "accounts.google.com";
        String jwksUri = "https://www.googleapis.com/oauth2/v3/certs";

        // Get the ID of the key used to sign the token.
        DecodedJWT unverifiedJwt = JWT.decode(token);
        String keyId = unverifiedJwt.getKeyId();

        // Get the public key from Google.
        JwkProvider googleCerts = new UrlJwkProvider(new URL(jwksUri), null, null);
        PublicKey publicKey = googleCerts.get(keyId).getPublicKey();

        // Verify and decode the token.
        Algorithm rsa = Algorithm.RSA256((RSAPublicKey) publicKey, null);
        JWTVerifier verifier = JWT.require(rsa)
                .withIssuer(issuer)
                // Get your apps' client IDs from the API console:
                // https://console.developers.google.com/apis/credentials?project=_
                .withAudience("123456789-abcedfgh.apps.googleusercontent.com",
                              "123456789-ijklmnop.apps.googleusercontent.com",
                              "123456789-qrstuvwx.apps.googleusercontent.com")
                .acceptLeeway(Long.MAX_VALUE)  // Don't check for expiration.
                .build();
        jwt = verifier.verify(token);
    } catch (JwkException e) {
        // Key not found. Return HTTP 400.
    } catch (InvalidClaimException e) {

    } catch (JWTDecodeException exception) {
        // Malformed token. Return HTTP 400.
    } catch (MalformedURLException e) {
        // Invalid JWKS URI.
    }
    return jwt;
}

import json
import jwt       # pip install pyjwt
import requests  # pip install requests

def validate_security_token(token, client_ids):
    # Get Google's RISC configuration.
    risc_config_uri = 'https://accounts.google.com/.well-known/risc-configuration'
    risc_config = requests.get(risc_config_uri).json()

    # Get the public key used to sign the token.
    google_certs = requests.get(risc_config['jwks_uri']).json()
    jwt_header = jwt.get_unverified_header(token)
    key_id = jwt_header['kid']
    public_key = None
    for key in google_certs['keys']:
        if key['kid'] == key_id:
            public_key = jwt.algorithms.RSAAlgorithm.from_jwk(json.dumps(key))
    if not public_key:
        raise Exception('Public key certificate not found.')
        # In this situation, return HTTP 400

    # Decode the token, validating its signature, audience, and issuer.
    try:
        token_data = jwt.decode(token, public_key, algorithms='RS256',
                                options={'verify_exp': False},
                                audience=client_ids, issuer=risc_config['issuer'])
    except:
        raise
        # Validation failed. Return HTTP 400.
    return token_data

# Get your apps' client IDs from the API console:
# https://console.developers.google.com/apis/credentials?project=_
client_ids = ['123456789-abcedfgh.apps.googleusercontent.com',
              '123456789-ijklmnop.apps.googleusercontent.com',
              '123456789-qrstuvwx.apps.googleusercontent.com']
token_data = validate_security_token(token, client_ids)

Se o token for válido e tiver sido decodificado, retorne o status HTTP 202. Em seguida, processe o evento de segurança indicado pelo token.

2. Processar eventos de segurança

Quando decodificado, um token de evento de segurança fica assim:

{
  "iss": "https://accounts.google.com/",
  "aud": "123456789-abcedfgh.apps.googleusercontent.com",
  "iat": 1508184845,
  "jti": "756E69717565206964656E746966696572",
  "events": {
    "https://schemas.openid.net/secevent/risc/event-type/account-disabled": {
      "subject": {
        "subject_type": "iss-sub",
        "iss": "https://accounts.google.com/",
        "sub": "7375626A656374"
      },
      "reason": "hijacking"
    }
  }
}

As declarações iss e aud indicam o emissor do token (Google) e o destinatário pretendido do token (seu serviço). Você verificou essas declarações na etapa anterior.

A declaração jti é uma string que identifica um único evento de segurança e é exclusiva do fluxo. É possível usar esse identificador para rastrear quais eventos de segurança você recebeu.

A declaração events contém informações sobre o evento de segurança que o token representa. Essa declaração é um mapeamento de um identificador de tipo de evento para uma declaração subject, que especifica o usuário a que o evento se refere, e para outros detalhes sobre o evento que possam estar disponíveis.

A declaração subject identifica um usuário específico com o ID exclusivo da Conta do Google (sub). Esse ID é o mesmo identificador (sub) contido nos tokens de ID JWT emitidos pela biblioteca mais recente do Login com o Google (JavaScript, HTML), pela biblioteca legada do Login do Google ou pelo OpenID Connect. Quando o subject_type da declaração é id_token_claims, ela também pode incluir um campo email com o endereço de e-mail do usuário.

Use as informações na declaração events para tomar as medidas adequadas para o tipo de evento na conta do usuário especificado.

Identificadores de token OAuth

Para eventos do OAuth sobre tokens individuais, o tipo de identificador assunto do token contém os seguintes campos:

• token_type: somente refresh_token é aceito.

• token_identifier_alg: consulte a tabela abaixo para ver os valores possíveis.

• token: consulte a tabela abaixo.

Se você fizer a integração com esses eventos, recomendamos indexar seus tokens com base nesses valores possíveis para garantir uma correspondência rápida quando o evento for recebido.

Tipos de evento compatíveis

A Proteção entre contas é compatível com os seguintes tipos de eventos de segurança:

Eventos duplicados e perdidos

A Proteção entre contas tentará reenviar eventos que ela acredita não terem sido entregues. Portanto, às vezes, você pode receber o mesmo evento várias vezes. Se isso puder causar ações repetidas que incomodem seus usuários, considere usar a declaração jti (que é um identificador exclusivo de um evento) para remover a duplicação. Há ferramentas externas, como o Dataflow do Google Cloud, que podem ajudar você a executar o fluxo de dados de remoção de duplicidade.

Os eventos são entregues com novas tentativas limitadas. Portanto, se o receptor ficar inativo por um período prolongado, você poderá perder alguns eventos permanentemente.

Registrar o receptor

Para começar a receber eventos de segurança, registre o endpoint do receptor usando a API RISC. As chamadas para a API RISC precisam ser acompanhadas de um token de autorização.

Você só vai receber eventos de segurança dos usuários do seu app. Portanto, é necessário ter uma tela de permissão OAuth configurada no projeto do GCP como pré-requisito para as etapas descritas abaixo.

1. Gerar um token de autorização

Para gerar um token de autorização para a API RISC, crie um JWT com as seguintes declarações:

{
  "iss": SERVICE_ACCOUNT_EMAIL,
  "sub": SERVICE_ACCOUNT_EMAIL,
  "aud": "https://risc.googleapis.com/google.identity.risc.v1beta.RiscManagementService",
  "iat": CURRENT_TIME,
  "exp": CURRENT_TIME + 3600
}

Assine o JWT usando a chave privada da sua conta de serviço, que pode ser encontrada no arquivo JSON baixado ao criar a chave da conta de serviço.

Exemplo:

public static String makeBearerToken() {
    String token = null;
    try {
        // Get signing key and client email address.
        FileInputStream is = new FileInputStream("your-service-account-credentials.json");
        ServiceAccountCredentials credentials =
               (ServiceAccountCredentials) GoogleCredentials.fromStream(is);
        PrivateKey privateKey = credentials.getPrivateKey();
        String keyId = credentials.getPrivateKeyId();
        String clientEmail = credentials.getClientEmail();

        // Token must expire in exactly one hour.
        Date issuedAt = new Date();
        Date expiresAt = new Date(issuedAt.getTime() + 3600000);

        // Create signed token.
        Algorithm rsaKey = Algorithm.RSA256(null, (RSAPrivateKey) privateKey);
        token = JWT.create()
                .withIssuer(clientEmail)
                .withSubject(clientEmail)
                .withAudience("https://risc.googleapis.com/google.identity.risc.v1beta.RiscManagementService")
                .withIssuedAt(issuedAt)
                .withExpiresAt(expiresAt)
                .withKeyId(keyId)
                .sign(rsaKey);
    } catch (ClassCastException e) {
        // Credentials file doesn't contain a service account key.
    } catch (IOException e) {
        // Credentials file couldn't be loaded.
    }
    return token;
}

import json
import time

import jwt  # pip install pyjwt

def make_bearer_token(credentials_file):
    with open(credentials_file) as service_json:
        service_account = json.load(service_json)
        issuer = service_account['client_email']
        subject = service_account['client_email']
        private_key_id = service_account['private_key_id']
        private_key = service_account['private_key']
    issued_at = int(time.time())
    expires_at = issued_at + 3600
    payload = {'iss': issuer,
               'sub': subject,
               'aud': 'https://risc.googleapis.com/google.identity.risc.v1beta.RiscManagementService',
               'iat': issued_at,
               'exp': expires_at}
    encoded = jwt.encode(payload, private_key, algorithm='RS256',
                         headers={'kid': private_key_id})
    return encoded

auth_token = make_bearer_token('your-service-account-credentials.json')

Esse token de autorização pode ser usado para fazer chamadas da API RISC por uma hora. Quando o token expirar, gere um novo para continuar fazendo chamadas da API RISC.

2. Chamar a API de configuração de fluxo RISC

Agora que você tem um token de autorização, use a API RISC para configurar o fluxo de eventos de segurança do seu projeto, incluindo o registro do endpoint do receptor.

Para isso, faça uma solicitação POST HTTPS para https://risc.googleapis.com/v1beta/stream:update, especificando o endpoint do receptor e os tipos de eventos de segurança de seu interesse:

POST /v1beta/stream:update HTTP/1.1
Host: risc.googleapis.com
Authorization: Bearer AUTH_TOKEN

{
  "delivery": {
    "delivery_method":
      "https://schemas.openid.net/secevent/risc/delivery-method/push",
    "url": RECEIVER_ENDPOINT
  },
  "events_requested": [
    SECURITY_EVENT_TYPES
  ]
}

Exemplo:

public static void configureEventStream(final String receiverEndpoint,
                                        final List<String> eventsRequested,
                                        String authToken) throws IOException {
    ObjectMapper jsonMapper = new ObjectMapper();
    String streamConfig = jsonMapper.writeValueAsString(new Object() {
        public Object delivery = new Object() {
            public String delivery_method =
                    "https://schemas.openid.net/secevent/risc/delivery-method/push";
            public String url = receiverEndpoint;
        };
        public List<String> events_requested = eventsRequested;
    });

    HttpPost updateRequest = new HttpPost("https://risc.googleapis.com/v1beta/stream:update");
    updateRequest.addHeader("Content-Type", "application/json");
    updateRequest.addHeader("Authorization", "Bearer " + authToken);
    updateRequest.setEntity(new StringEntity(streamConfig));

    HttpResponse updateResponse = new DefaultHttpClient().execute(updateRequest);
    Header[] responseContentTypeHeaders = updateResponse.getHeaders("Content-Type");
    StatusLine responseStatus = updateResponse.getStatusLine();
    int statusCode = responseStatus.getStatusCode();
    HttpEntity entity = updateResponse.getEntity();
    // Now handle response
}

// ...

configureEventStream(
        "https://your-service.example.com/security-event-receiver",
        Arrays.asList(
                "https://schemas.openid.net/secevent/risc/event-type/account-credential-change-required",
                "https://schemas.openid.net/secevent/risc/event-type/account-disabled"),
        authToken);

import requests

def configure_event_stream(auth_token, receiver_endpoint, events_requested):
    stream_update_endpoint = 'https://risc.googleapis.com/v1beta/stream:update'
    headers = {'Authorization': 'Bearer {}'.format(auth_token)}
    stream_cfg = {'delivery': {'delivery_method': 'https://schemas.openid.net/secevent/risc/delivery-method/push',
                               'url': receiver_endpoint},
                  'events_requested': events_requested}
    response = requests.post(stream_update_endpoint, json=stream_cfg, headers=headers)
    response.raise_for_status()  # Raise exception for unsuccessful requests

configure_event_stream(auth_token, 'https://your-service.example.com/security-event-receiver',
                       ['https://schemas.openid.net/secevent/risc/event-type/account-credential-change-required',
                        'https://schemas.openid.net/secevent/risc/event-type/account-disabled'])

Se a solicitação retornar HTTP 200, o fluxo de eventos foi configurado corretamente e o endpoint do receptor vai começar a receber tokens de eventos de segurança. A próxima seção descreve como testar a configuração do stream e o endpoint para verificar se tudo está funcionando corretamente.

Receber e atualizar a configuração atual do stream

Se você quiser modificar a configuração de stream no futuro, faça uma solicitação GET autorizada para https://risc.googleapis.com/v1beta/stream e receba a configuração atual. Depois, modifique o corpo da resposta e envie a configuração modificada de volta para https://risc.googleapis.com/v1beta/stream:update, conforme descrito acima.

Parar e retomar o fluxo de eventos

Se você precisar interromper o fluxo de eventos do Google, faça uma solicitação POST autorizada para https://risc.googleapis.com/v1beta/stream/status:update com { "status": "disabled" } no corpo da solicitação. Enquanto o fluxo está desativado, o Google não envia eventos para seu endpoint nem armazena em buffer eventos de segurança quando eles ocorrem. Para reativar o fluxo de eventos, faça uma solicitação POST { "status": "enabled" } para o mesmo endpoint.

3. Opcional: teste a configuração de transmissão

Para verificar se a configuração de stream e o endpoint do receptor estão funcionando juntos corretamente, envie um token de verificação pelo stream de eventos. Esse token pode conter uma string exclusiva que você pode usar para verificar se o token foi recebido no seu endpoint. Para usar esse fluxo, inscreva-se no tipo de evento https://schemas.openid.net/secevent/risc/event-type/verification ao registrar seu receptor.

Para solicitar um token de verificação, faça uma solicitação HTTPS POST autorizada para https://risc.googleapis.com/v1beta/stream:verify. No corpo da solicitação, especifique uma string de identificação:

{
  "state": "ANYTHING"
}

Exemplo:

public static void testEventStream(final String stateString,
                                   String authToken) throws IOException {
    ObjectMapper jsonMapper = new ObjectMapper();
    String json = jsonMapper.writeValueAsString(new Object() {
        public String state = stateString;
    });

    HttpPost updateRequest = new HttpPost("https://risc.googleapis.com/v1beta/stream:verify");
    updateRequest.addHeader("Content-Type", "application/json");
    updateRequest.addHeader("Authorization", "Bearer " + authToken);
    updateRequest.setEntity(new StringEntity(json));

    HttpResponse updateResponse = new DefaultHttpClient().execute(updateRequest);
    Header[] responseContentTypeHeaders = updateResponse.getHeaders("Content-Type");
    StatusLine responseStatus = updateResponse.getStatusLine();
    int statusCode = responseStatus.getStatusCode();
    HttpEntity entity = updateResponse.getEntity();
    // Now handle response
}

// ...

testEventStream("Test token requested at " + new Date().toString(), authToken);

import requests
import time

def test_event_stream(auth_token, nonce):
    stream_verify_endpoint = 'https://risc.googleapis.com/v1beta/stream:verify'
    headers = {'Authorization': 'Bearer {}'.format(auth_token)}
    state = {'state': nonce}
    response = requests.post(stream_verify_endpoint, json=state, headers=headers)
    response.raise_for_status()  # Raise exception for unsuccessful requests

test_event_stream(auth_token, 'Test token requested at {}'.format(time.ctime()))

Se a solicitação for bem-sucedida, o token de verificação será enviado ao endpoint que você registrou. Por exemplo, se o endpoint processar tokens de verificação apenas registrando-os, examine os registros para confirmar se o token foi recebido.

Referência do código de erro

A API RISC pode retornar os seguintes erros:

Escopos de token de acesso

Se você decidir usar tokens de acesso para autenticar na API RISC, estes serão os escopos que seu aplicativo precisará solicitar:

Precisa de ajuda?

Primeiro, confira nossa seção de referência de códigos de erro. Se você ainda tiver dúvidas, poste no Stack Overflow com a tag #SecEvents.