Bảo vệ tài khoản người dùng bằng tính năng Bảo vệ nhiều tài khoản

Nếu ứng dụng của bạn cho phép người dùng đăng nhập vào tài khoản của họ bằng Google, thì bạn có thể cải thiện tính bảo mật cho những tài khoản người dùng chung này bằng cách lắng nghe và phản hồi thông báo về sự kiện bảo mật do dịch vụ Bảo vệ nhiều tài khoản cung cấp.

Các thông báo này cảnh báo cho bạn về những thay đổi lớn đối với Tài khoản Google của người dùng, thường cũng có thể có vấn đề về bảo mật đối với tài khoản của họ với ứng dụng của bạn. Ví dụ: nếu Tài khoản Google của người dùng bị xâm nhập, thì điều này có thể dẫn đến việc xâm phạm tài khoản của người dùng với ứng dụng của bạn thông qua việc khôi phục tài khoản email hoặc sử dụng dịch vụ đăng nhập một lần.

Để giúp bạn giảm thiểu nguy cơ xảy ra các sự kiện như vậy, Google sẽ gửi các đối tượng dịch vụ có tên là mã thông báo sự kiện bảo mật. Các mã thông báo này hiển thị rất ít thông tin, chỉ là loại sự kiện bảo mật, thời điểm xảy ra sự cố và giá trị nhận dạng của người dùng bị ảnh hưởng, nhưng bạn có thể sử dụng các mã thông báo này để thực hiện hành động thích hợp. Ví dụ: nếu Tài khoản Google của người dùng đã bị xâm phạm, bạn có thể tạm thời tắt tính năng Đăng nhập bằng Google cho người dùng đó và ngăn việc gửi email khôi phục tài khoản đến địa chỉ Gmail của người dùng.

Tính năng Bảo vệ nhiều tài khoản dựa trên tiêu chuẩn RISC, được phát triển tại tổ chức OpenID Foundation.

Tổng quan

Để sử dụng tính năng Bảo vệ nhiều tài khoản với ứng dụng hoặc dịch vụ của bạn, bạn phải hoàn thành các thao tác sau:

  1. Thiết lập dự án của bạn trong API Console.

  2. Tạo một điểm cuối bộ thu sự kiện để Google sẽ gửi mã thông báo sự kiện bảo mật. Điểm cuối này chịu trách nhiệm xác thực các mã thông báo mà thiết bị nhận được, sau đó phản hồi các sự kiện bảo mật theo bất kỳ cách nào bạn chọn.

  3. Đăng ký điểm cuối của bạn với Google để bắt đầu nhận mã thông báo sự kiện bảo mật.

Điều kiện tiên quyết

Bạn chỉ nhận được mã thông báo sự kiện bảo mật cho những người dùng Google đã cấp quyền dịch vụ để truy cập vào thông tin hồ sơ hoặc địa chỉ email của họ. Bạn nhận được quyền này bằng cách yêu cầu các phạm vi profile hoặc email. SDK Đăng nhập bằng Google mới hơn hoặc SDK Đăng nhập bằng Google cũ theo mặc định yêu cầu các phạm vi này, nhưng nếu bạn không sử dụng chế độ cài đặt mặc định hoặc nếu bạn truy cập trực tiếp vào điểm cuối OpenID Connect của Google, hãy đảm bảo rằng bạn đang yêu cầu ít nhất một trong các phạm vi này.

Thiết lập một dự án trong API Console

Để có thể bắt đầu nhận mã thông báo sự kiện bảo mật, bạn phải tạo một tài khoản dịch vụ và bật API RISC trong dự ánAPI Console của mình. Bạn phải sử dụng cùng mộtAPI Console dự án mà bạn sử dụng để truy cập các dịch vụ của Google, chẳng hạn như Đăng nhập bằng Google, trong ứng dụng của mình.

Để tạo tài khoản dịch vụ:

  1. Mở API Console Credentials page. Khi được nhắc, hãy chọn dự ánAPI Consolemà bạn dùng để truy cập vào các dịch vụ của Google trong ứng dụng của mình.

  2. Nhấp vào Tạo thông tin đăng nhập > Tài khoản dịch vụ.

  3. Tạo một tài khoản dịch vụ mới với vai trò Quản trị viên cấu hình RISC (roles/riscconfigs.admin) bằng cách làm theo các hướng dẫn này.

  4. Tạo một khóa cho tài khoản dịch vụ bạn mới tạo. Chọn loại khoá JSON, sau đó nhấp vào Create (Tạo). Khi khoá được tạo, bạn sẽ tải một tệp JSON chứa thông tin xác thực của tài khoản dịch vụ xuống. Giữ tệp này ở nơi an toàn, nhưng cũng có thể truy cập vào điểm cuối nhận sự kiện.

Trong khi bạn đang ở trên trang Thông tin đăng nhập của dự án, cũng xin lưu ý các ID khách hàng mà bạn sử dụng để Đăng nhập bằng Google hoặc Đăng nhập bằng Google (cũ). Thông thường, bạn có một mã ứng dụng khách cho mỗi nền tảng mà bạn hỗ trợ. Bạn sẽ cần các mã ứng dụng khách này để xác thực mã thông báo của sự kiện bảo mật, như mô tả trong phần tiếp theo.

Để bật API RISC:

  1. Mở trang API RISC trongAPI Console. Hãy đảm bảo dự án bạn sử dụng để truy cập các dịch vụ của Google vẫn được chọn.

  2. Đọc Điều khoản của RISC và đảm bảo bạn hiểu các yêu cầu.

    Nếu bạn đang bật API cho dự án do một tổ chức sở hữu, hãy đảm bảo rằng bạn được uỷ quyền để ràng buộc tổ chức đó với các Điều khoản của RISC.

  3. Chỉ nhấp vào Bật nếu bạn đồng ý với Điều khoản RISC.

Tạo điểm cuối người nhận sự kiện

Để nhận thông báo về sự kiện bảo mật từ Google, bạn cần tạo một điểm cuối HTTPS xử lý các yêu cầu POST HTTPS. Sau khi bạn đăng ký điểm cuối này (xem bên dưới), Google sẽ bắt đầu đăng các chuỗi đã ký mã hoá được gọi là mã thông báo sự kiện bảo mật tới điểm cuối. Mã thông báo sự kiện bảo mật là các JWT đã ký chứa thông tin về một sự kiện liên quan đến bảo mật.

Đối với mỗi mã thông báo sự kiện bảo mật mà bạn nhận được tại điểm cuối, trước tiên, hãy xác thực và giải mã mã thông báo, sau đó xử lý sự kiện bảo mật phù hợp với dịch vụ của bạn. Bạn cần xác thực mã thông báo sự kiện trước khi giải mã để ngăn chặn kẻ tấn công có ác ý từ kẻ xấu. Các phần sau đây mô tả những tác vụ này:

1. Giải mã và xác thực mã thông báo sự kiện bảo mật

Vì mã thông báo sự kiện bảo mật là một loại JWT cụ thể, nên bạn có thể sử dụng bất kỳ thư viện JWT nào, chẳng hạn như thư viện được liệt kê trên jwt.io, để giải mã và xác thực các mã đó. Bất kể bạn sử dụng thư viện nào, mã xác thực mã thông báo của bạn phải thực hiện những việc sau:

  1. Nhận giá trị nhận dạng của nhà phát hành Bảo vệ nhiều tài khoản (issuer) và URI chứng chỉ khoá ký (jwks_uri) từ tài liệu cấu hình RISC của Google. Bạn có thể tìm thấy tài liệu này tại https://accounts.google.com/.well-known/risc-configuration.
  2. Sử dụng thư viện JWT mà bạn chọn, lấy mã khoá ký từ tiêu đề của mã thông báo sự kiện bảo mật.
  3. Từ tài liệu chứng chỉ khoá ký của Google, hãy lấy khoá công khai bằng mã khoá mà bạn nhận được ở bước trước. Nếu tài liệu không chứa khoá có mã nhận dạng mà bạn đang tìm, thì có thể mã thông báo sự kiện bảo mật là không hợp lệ và điểm cuối của bạn sẽ trả về lỗi HTTP 400.
  4. Sử dụng thư viện JWT mà bạn chọn, xác minh nội dung sau:
    • Mã thông báo sự kiện bảo mật được ký bằng khoá công khai mà bạn đã nhận được ở bước trước.
    • Xác nhận quyền sở hữu aud của mã thông báo là một trong các ID ứng dụng khách của ứng dụng của bạn.
    • Thông báo xác nhận quyền sở hữu iss của mã thông báo khớp với giá trị nhận dạng của nhà phát hành mà bạn nhận được từ tài liệu khám phá của RISC. Xin lưu ý rằng bạn không cần xác minh thời gian hết hạn của mã thông báo (exp) vì mã thông báo sự kiện bảo mật thể hiện sự kiện trong quá khứ và do đó, không hết hạn.

Ví dụ:

Java

Sử dụng java-jwtjwks-rsa-java:

public DecodedJWT validateSecurityEventToken(String token) {
    DecodedJWT jwt = null;
    try {
        // In a real implementation, get these values from
        // https://accounts.google.com/.well-known/risc-configuration
        String issuer = "accounts.google.com";
        String jwksUri = "https://www.googleapis.com/oauth2/v3/certs";

        // Get the ID of the key used to sign the token.
        DecodedJWT unverifiedJwt = JWT.decode(token);
        String keyId = unverifiedJwt.getKeyId();

        // Get the public key from Google.
        JwkProvider googleCerts = new UrlJwkProvider(new URL(jwksUri), null, null);
        PublicKey publicKey = googleCerts.get(keyId).getPublicKey();

        // Verify and decode the token.
        Algorithm rsa = Algorithm.RSA256((RSAPublicKey) publicKey, null);
        JWTVerifier verifier = JWT.require(rsa)
                .withIssuer(issuer)
                // Get your apps' client IDs from the API console:
                // https://console.developers.google.com/apis/credentials?project=_
                .withAudience("123456789-abcedfgh.apps.googleusercontent.com",
                              "123456789-ijklmnop.apps.googleusercontent.com",
                              "123456789-qrstuvwx.apps.googleusercontent.com")
                .acceptLeeway(Long.MAX_VALUE)  // Don't check for expiration.
                .build();
        jwt = verifier.verify(token);
    } catch (JwkException e) {
        // Key not found. Return HTTP 400.
    } catch (InvalidClaimException e) {

    } catch (JWTDecodeException exception) {
        // Malformed token. Return HTTP 400.
    } catch (MalformedURLException e) {
        // Invalid JWKS URI.
    }
    return jwt;
}

Python

import json
import jwt       # pip install pyjwt
import requests  # pip install requests

def validate_security_token(token, client_ids):
    # Get Google's RISC configuration.
    risc_config_uri = 'https://accounts.google.com/.well-known/risc-configuration'
    risc_config = requests.get(risc_config_uri).json()

    # Get the public key used to sign the token.
    google_certs = requests.get(risc_config['jwks_uri']).json()
    jwt_header = jwt.get_unverified_header(token)
    key_id = jwt_header['kid']
    public_key = None
    for key in google_certs['keys']:
        if key['kid'] == key_id:
            public_key = jwt.algorithms.RSAAlgorithm.from_jwk(json.dumps(key))
    if not public_key:
        raise Exception('Public key certificate not found.')
        # In this situation, return HTTP 400

    # Decode the token, validating its signature, audience, and issuer.
    try:
        token_data = jwt.decode(token, public_key, algorithms='RS256',
                                options={'verify_exp': False},
                                audience=client_ids, issuer=risc_config['issuer'])
    except:
        raise
        # Validation failed. Return HTTP 400.
    return token_data

# Get your apps' client IDs from the API console:
# https://console.developers.google.com/apis/credentials?project=_
client_ids = ['123456789-abcedfgh.apps.googleusercontent.com',
              '123456789-ijklmnop.apps.googleusercontent.com',
              '123456789-qrstuvwx.apps.googleusercontent.com']
token_data = validate_security_token(token, client_ids)

Nếu mã thông báo hợp lệ và đã được giải mã thành công, hãy trả về trạng thái HTTP 202. Sau đó, hãy xử lý sự kiện bảo mật được chỉ ra bằng mã thông báo.

2. Xử lý sự kiện bảo mật

Khi được giải mã, mã thông báo sự kiện bảo mật sẽ có dạng như sau:

{
  "iss": "https://accounts.google.com/",
  "aud": "123456789-abcedfgh.apps.googleusercontent.com",
  "iat": 1508184845,
  "jti": "756E69717565206964656E746966696572",
  "events": {
    "https://schemas.openid.net/secevent/risc/event-type/account-disabled": {
      "subject": {
        "subject_type": "iss-sub",
        "iss": "https://accounts.google.com/",
        "sub": "7375626A656374"
      },
      "reason": "hijacking"
    }
  }
}

Các thông báo xác nhận quyền sở hữu issaud cho biết người cấp mã thông báo (Google) và người nhận dự kiến sẽ nhận được (dịch vụ của bạn). Bạn đã xác minh những thông báo xác nhận quyền sở hữu này trong bước trước.

Thông báo xác nhận quyền sở hữu jti là một chuỗi xác định một sự kiện bảo mật duy nhất và chỉ dành riêng cho luồng. Bạn có thể sử dụng giá trị nhận dạng này để theo dõi các sự kiện bảo mật mà bạn đã nhận được.

Xác nhận quyền sở hữu events chứa thông tin về sự kiện bảo mật mà mã thông báo đại diện. Thông báo xác nhận quyền sở hữu này là mối liên kết từ giá trị nhận dạng loại sự kiện đến thông báo xác nhận quyền sở hữu subject. Thông báo xác định này chỉ định người dùng có liên quan đến sự kiện này và mọi thông tin chi tiết bổ sung về sự kiện có thể có.

Xác nhận quyền sở hữu subject xác định một người dùng cụ thể bằng ID Tài khoản Google (sub) duy nhất của người dùng. ID Tài khoản Google này giống với giá trị nhận dạng (sub) có trong mã thông báo ID JWT do thư viện Đăng nhập bằng Google (Javascript, HTML) mới tạo, thư viện Google Đăng nhập cũ hoặc OpenID Connect. Khi subject_type của thông báo xác nhận quyền sở hữu là id_token_claims, thông báo này cũng có thể bao gồm trường email cùng với địa chỉ email của người dùng.

Sử dụng thông tin trong xác nhận quyền sở hữu events để có hành động thích hợp cho loại sự kiện trên tài khoản của người dùng đã chỉ định.

Giá trị nhận dạng mã thông báo OAuth

Đối với các sự kiện OAuth về từng mã thông báo, loại mã nhận dạng chủ đề mã thông báo chứa các trường sau:

  • token_type: Chỉ hỗ trợ refresh_token.

  • token_identifier_alg: Hãy xem bảng bên dưới để biết các giá trị có thể sử dụng.

  • token: Xem bảng bên dưới.

token_identifier_alg mã thông báo
prefix 16 ký tự đầu tiên của mã thông báo.
hash_base64_sha512_sha512 Hàm băm kép của mã thông báo bằng thuật toán SHA-512.

Nếu tích hợp với những sự kiện này, bạn nên lập chỉ mục mã thông báo của mình dựa trên những giá trị có thể này để đảm bảo so khớp nhanh khi sự kiện được nhận.

Các loại sự kiện được hỗ trợ

Chương trình Bảo vệ nhiều tài khoản hỗ trợ các loại sự kiện bảo mật sau:

Loại sự kiện Thuộc tính Cách phản hồi
https://schemas.openid.net/secevent/risc/event-type/sessions-revoked Bắt buộc: Tăng cường bảo mật cho tài khoản của người dùng bằng cách kết thúc những phiên đang mở.
https://schemas.openid.net/secevent/oauth/event-type/tokens-revoked

Bắt buộc: Nếu mã thông báo là để Đăng nhập bằng Google, hãy chấm dứt những phiên mà họ đang mở. Ngoài ra, bạn có thể muốn đề xuất cho người dùng thiết lập phương thức đăng nhập thay thế.

Đề xuất: Nếu mã thông báo dùng để truy cập vào các API khác của Google, hãy xóa mọi mã thông báo OAuth của người dùng mà bạn đã lưu trữ.

https://schemas.openid.net/secevent/oauth/event-type/token-revoked Xem mục Mã nhận dạng mã thông báo OAuth để biết mã nhận dạng mã thông báo

Bắt buộc: Nếu bạn lưu trữ mã làm mới tương ứng, hãy xóa mã đó và yêu cầu người dùng đồng ý lại vào lần tiếp theo cần mã truy cập.

https://schemas.openid.net/secevent/risc/event-type/account-disabled reason=hijacking,
reason=bulk-account

Bắt buộc: Nếu lý do tài khoản bị vô hiệu hóa là hijacking, hãy bảo vệ an toàn tài khoản của người dùng bằng cách kết thúc những phiên đang mở của họ.

Đề xuất: Nếu lý do tài khoản bị vô hiệu hóa là bulk-account, hãy phân tích hoạt động của người dùng trên dịch vụ của bạn và xác định các hành động cần theo dõi thích hợp.

Đề xuất: Nếu không có lý do nào được đưa ra, hãy tắt tính năng Đăng nhập bằng Google đối với người dùng và tắt tính năng khôi phục tài khoản bằng địa chỉ email liên kết với Tài khoản Google của người dùng (thường, nhưng không nhất thiết là tài khoản Gmail). Cung cấp cho người dùng một phương thức đăng nhập thay thế.

https://schemas.openid.net/secevent/risc/event-type/account-enabled Đề xuất: Bật lại tính năng Đăng nhập bằng Google cho người dùng và bật lại tính năng khôi phục tài khoản bằng địa chỉ email Tài khoản Google của người dùng.
https://schemas.openid.net/secevent/risc/event-type/account-purged Đề xuất: Xóa tài khoản của người dùng hoặc cung cấp cho họ một phương thức đăng nhập thay thế.
https://schemas.openid.net/secevent/risc/event-type/account-credential-change-required Đề xuất: Tìm các hoạt động đáng ngờ trên dịch vụ của bạn và thực hiện hành động phù hợp.
https://schemas.openid.net/secevent/risc/event-type/verification trạng thái=state Đề xuất: Ghi nhật ký nhận được mã thông báo kiểm tra.

Sự kiện bị trùng lặp và bị bỏ lỡ

Tính năng Bảo vệ nhiều tài khoản sẽ cố gắng phân phối lại các sự kiện mà nhóm tin rằng chưa được phân phối. Do đó, đôi khi bạn có thể nhận được cùng một sự kiện nhiều lần. Nếu việc này có thể gây ra các hành động lặp đi lặp lại gây bất tiện cho người dùng, hãy cân nhắc sử dụng thông báo xác nhận quyền sở hữu jti (là giá trị nhận dạng duy nhất của một sự kiện) để loại bỏ trùng lặp các sự kiện. Một số công cụ bên ngoài như Luồng dữ liệu đám mây của Google có thể giúp bạn thực thi luồng dữ liệu loại bỏ trùng lặp.

Xin lưu ý rằng các sự kiện được gửi với số lần thử lại có giới hạn nên nếu bộ thu của bạn không hoạt động trong một khoảng thời gian dài, bạn có thể vĩnh viễn bỏ lỡ một số sự kiện.

Đăng ký người nhận

Để bắt đầu nhận các sự kiện bảo mật, hãy đăng ký điểm cuối bộ thu bằng API RISC. Các lệnh gọi đến API RISC phải kèm theo mã thông báo ủy quyền.

Bạn sẽ chỉ nhận được sự kiện bảo mật cho người dùng ứng dụng của mình. Vì vậy, bạn cần định cấu hình màn hình xin phép bằng OAuth trong dự án GCP làm điều kiện tiên quyết cho các bước dưới đây.

1. Tạo mã thông báo uỷ quyền

Để tạo mã thông báo uỷ quyền cho API RISC, hãy tạo một JWT với các thông báo sau:

{
  "iss": SERVICE_ACCOUNT_EMAIL,
  "sub": SERVICE_ACCOUNT_EMAIL,
  "aud": "https://risc.googleapis.com/google.identity.risc.v1beta.RiscManagementService",
  "iat": CURRENT_TIME,
  "exp": CURRENT_TIME + 3600
}

Ký JWT bằng khoá riêng tư của tài khoản dịch vụ. Bạn có thể tìm thấy khoá này trong tệp JSON mà bạn đã tải xuống khi tạo khoá tài khoản dịch vụ.

Ví dụ:

Java

Sử dụng java-jwtthư viện xác thực của Google:

public static String makeBearerToken() {
    String token = null;
    try {
        // Get signing key and client email address.
        FileInputStream is = new FileInputStream("your-service-account-credentials.json");
        ServiceAccountCredentials credentials =
               (ServiceAccountCredentials) GoogleCredentials.fromStream(is);
        PrivateKey privateKey = credentials.getPrivateKey();
        String keyId = credentials.getPrivateKeyId();
        String clientEmail = credentials.getClientEmail();

        // Token must expire in exactly one hour.
        Date issuedAt = new Date();
        Date expiresAt = new Date(issuedAt.getTime() + 3600000);

        // Create signed token.
        Algorithm rsaKey = Algorithm.RSA256(null, (RSAPrivateKey) privateKey);
        token = JWT.create()
                .withIssuer(clientEmail)
                .withSubject(clientEmail)
                .withAudience("https://risc.googleapis.com/google.identity.risc.v1beta.RiscManagementService")
                .withIssuedAt(issuedAt)
                .withExpiresAt(expiresAt)
                .withKeyId(keyId)
                .sign(rsaKey);
    } catch (ClassCastException e) {
        // Credentials file doesn't contain a service account key.
    } catch (IOException e) {
        // Credentials file couldn't be loaded.
    }
    return token;
}

Python

import json
import time

import jwt  # pip install pyjwt

def make_bearer_token(credentials_file):
    with open(credentials_file) as service_json:
        service_account = json.load(service_json)
        issuer = service_account['client_email']
        subject = service_account['client_email']
        private_key_id = service_account['private_key_id']
        private_key = service_account['private_key']
    issued_at = int(time.time())
    expires_at = issued_at + 3600
    payload = {'iss': issuer,
               'sub': subject,
               'aud': 'https://risc.googleapis.com/google.identity.risc.v1beta.RiscManagementService',
               'iat': issued_at,
               'exp': expires_at}
    encoded = jwt.encode(payload, private_key, algorithm='RS256',
                         headers={'kid': private_key_id})
    return encoded

auth_token = make_bearer_token('your-service-account-credentials.json')

Mã thông báo uỷ quyền này có thể dùng để thực hiện lệnh gọi API RISC trong 1 giờ. Khi mã thông báo hết hạn, hãy tạo một mã mới để tiếp tục thực hiện các lệnh gọi API RISC.

2. Gọi API cấu hình luồng RISC

Bây giờ, bạn đã có mã thông báo uỷ quyền, bạn có thể sử dụng API RISC để định cấu hình luồng sự kiện bảo mật của dự án, bao gồm cả việc đăng ký điểm cuối nhận.

Để thực hiện việc này, hãy gửi yêu cầu POST qua HTTPS tới https://risc.googleapis.com/v1beta/stream:update, trong đó nêu rõ điểm cuối nhận của bạn và các loại sự kiện bảo mật mà bạn quan tâm:

POST /v1beta/stream:update HTTP/1.1
Host: risc.googleapis.com
Authorization: Bearer AUTH_TOKEN

{
  "delivery": {
    "delivery_method":
      "https://schemas.openid.net/secevent/risc/delivery-method/push",
    "url": RECEIVER_ENDPOINT
  },
  "events_requested": [
    SECURITY_EVENT_TYPES
  ]
}

Ví dụ:

Java

public static void configureEventStream(final String receiverEndpoint,
                                        final List<String> eventsRequested,
                                        String authToken) throws IOException {
    ObjectMapper jsonMapper = new ObjectMapper();
    String streamConfig = jsonMapper.writeValueAsString(new Object() {
        public Object delivery = new Object() {
            public String delivery_method =
                    "https://schemas.openid.net/secevent/risc/delivery-method/push";
            public String url = receiverEndpoint;
        };
        public List<String> events_requested = eventsRequested;
    });

    HttpPost updateRequest = new HttpPost("https://risc.googleapis.com/v1beta/stream:update");
    updateRequest.addHeader("Content-Type", "application/json");
    updateRequest.addHeader("Authorization", "Bearer " + authToken);
    updateRequest.setEntity(new StringEntity(streamConfig));

    HttpResponse updateResponse = new DefaultHttpClient().execute(updateRequest);
    Header[] responseContentTypeHeaders = updateResponse.getHeaders("Content-Type");
    StatusLine responseStatus = updateResponse.getStatusLine();
    int statusCode = responseStatus.getStatusCode();
    HttpEntity entity = updateResponse.getEntity();
    // Now handle response
}

// ...

configureEventStream(
        "https://your-service.example.com/security-event-receiver",
        Arrays.asList(
                "https://schemas.openid.net/secevent/risc/event-type/account-credential-change-required",
                "https://schemas.openid.net/secevent/risc/event-type/account-disabled"),
        authToken);

Python

import requests

def configure_event_stream(auth_token, receiver_endpoint, events_requested):
    stream_update_endpoint = 'https://risc.googleapis.com/v1beta/stream:update'
    headers = {'Authorization': 'Bearer {}'.format(auth_token)}
    stream_cfg = {'delivery': {'delivery_method': 'https://schemas.openid.net/secevent/risc/delivery-method/push',
                               'url': receiver_endpoint},
                  'events_requested': events_requested}
    response = requests.post(stream_update_endpoint, json=stream_cfg, headers=headers)
    response.raise_for_status()  # Raise exception for unsuccessful requests

configure_event_stream(auth_token, 'https://your-service.example.com/security-event-receiver',
                       ['https://schemas.openid.net/secevent/risc/event-type/account-credential-change-required',
                        'https://schemas.openid.net/secevent/risc/event-type/account-disabled'])

Nếu yêu cầu trả về HTTP 200, luồng sự kiện đã được định cấu hình thành công và điểm cuối của người nhận sẽ bắt đầu nhận được mã thông báo sự kiện bảo mật. Phần tiếp theo mô tả cách bạn có thể kiểm tra cấu hình và điểm cuối của luồng để xác minh mọi thứ hoạt động cùng nhau chính xác.

Tải và cập nhật cấu hình luồng hiện tại của bạn

Trong tương lai, nếu muốn sửa đổi cấu hình luồng, bạn có thể thực hiện việc này bằng cách gửi yêu cầu GET được ủy quyền đến https://risc.googleapis.com/v1beta/stream để nhận cấu hình luồng hiện tại, sửa đổi nội dung phản hồi, sau đó POST lại cấu hình đã sửa đổi lên https://risc.googleapis.com/v1beta/stream:update như mô tả ở trên.

Dừng và tiếp tục luồng sự kiện

Nếu bạn cần dừng luồng sự kiện từ Google, hãy gửi một yêu cầu POST được ủy quyền đến https://risc.googleapis.com/v1beta/stream/status:update{ "status": "disabled" } trong phần nội dung yêu cầu. Khi sự kiện trực tiếp bị huỷ kích hoạt, Google sẽ không gửi sự kiện đến điểm cuối của bạn và không lưu vào bộ đệm các sự kiện bảo mật khi chúng xảy ra. Để bật lại luồng sự kiện, hãy ĐĂNG { "status": "enabled" } vào cùng một điểm cuối.

3. Không bắt buộc: Kiểm tra cấu hình của sự kiện trực tiếp

Bạn có thể xác minh rằng cấu hình luồng và điểm cuối của bộ nhận đang hoạt động cùng nhau chính xác bằng cách gửi mã xác minh qua luồng sự kiện của bạn. Mã thông báo này có thể chứa một chuỗi duy nhất mà bạn có thể sử dụng để xác minh rằng mã thông báo đã được nhận tại điểm cuối của bạn. Để sử dụng quy trình này, hãy nhớ đăng ký https://schemas.openid.net/secevent/risc/event-type/verification loại sự kiện khi đăng ký bộ thu.

Để yêu cầu mã xác minh, hãy gửi yêu cầu POST HTTPS qua HTTPS đến https://risc.googleapis.com/v1beta/stream:verify. Trong phần nội dung của yêu cầu, hãy chỉ định một số chuỗi nhận dạng:

{
  "state": "ANYTHING"
}

Ví dụ:

Java

public static void testEventStream(final String stateString,
                                   String authToken) throws IOException {
    ObjectMapper jsonMapper = new ObjectMapper();
    String json = jsonMapper.writeValueAsString(new Object() {
        public String state = stateString;
    });

    HttpPost updateRequest = new HttpPost("https://risc.googleapis.com/v1beta/stream:verify");
    updateRequest.addHeader("Content-Type", "application/json");
    updateRequest.addHeader("Authorization", "Bearer " + authToken);
    updateRequest.setEntity(new StringEntity(json));

    HttpResponse updateResponse = new DefaultHttpClient().execute(updateRequest);
    Header[] responseContentTypeHeaders = updateResponse.getHeaders("Content-Type");
    StatusLine responseStatus = updateResponse.getStatusLine();
    int statusCode = responseStatus.getStatusCode();
    HttpEntity entity = updateResponse.getEntity();
    // Now handle response
}

// ...

testEventStream("Test token requested at " + new Date().toString(), authToken);

Python

import requests
import time

def test_event_stream(auth_token, nonce):
    stream_verify_endpoint = 'https://risc.googleapis.com/v1beta/stream:verify'
    headers = {'Authorization': 'Bearer {}'.format(auth_token)}
    state = {'state': nonce}
    response = requests.post(stream_verify_endpoint, json=state, headers=headers)
    response.raise_for_status()  # Raise exception for unsuccessful requests

test_event_stream(auth_token, 'Test token requested at {}'.format(time.ctime()))

Nếu yêu cầu thành công, mã thông báo xác minh sẽ được gửi đến điểm cuối mà bạn đã đăng ký. Sau đó, nếu điểm cuối của bạn xử lý các mã thông báo xác minh bằng cách ghi nhật ký đơn giản, bạn có thể kiểm tra nhật ký để xác nhận mã thông báo đã được nhận.

Tham chiếu mã lỗi

API RISC có thể trả về những lỗi sau:

Mã lỗi Thông báo lỗi Hành động đề xuất
400 Cấu hình luồng phải chứa trường $fieldname. Yêu cầu của bạn về điểm cuối https://risc.googleapis.com/v1beta/stream:update không hợp lệ hoặc không thể phân tích cú pháp. Vui lòng bao gồm $fieldname trong yêu cầu của bạn.
401 Không được uỷ quyền. Ủy quyền không thành công. Hãy nhớ đính kèm mã thông báo uỷ quyền kèm theo yêu cầu, đồng thời mã thông báo đó hợp lệ và chưa hết hạn.
403 Điểm cuối phân phối phải là URL HTTPS. Điểm cuối phân phối của bạn (tức là điểm cuối mà bạn dự kiến sẽ phân phối sự kiện RISC) phải là HTTPS. Chúng tôi không gửi các sự kiện RISC tới URL HTTP.
403 Cấu hình luồng hiện có không có cách phân phối tuân thủ thông số kỹ thuật cho RISC. Dự án Google Cloud của bạn phải có cấu hình RISC. Nếu bạn đang sử dụng Firebase và đã bật tính năng Đăng nhập bằng Google, Firebase sẽ quản lý RISC cho dự án của bạn; bạn sẽ không thể tạo cấu hình tùy chỉnh. Nếu bạn hiện không sử dụng tính năng Đăng nhập bằng Google cho dự án Firebase của mình, vui lòng tắt dự án đó rồi thử cập nhật lại sau một giờ.
403 Không thể tìm thấy dự án. Đảm bảo bạn đang sử dụng đúng tài khoản dịch vụ cho đúng dự án. Bạn có thể đang sử dụng một tài khoản dịch vụ liên kết với một dự án đã bị xoá. Tìm hiểu cách xem tất cả tài khoản dịch vụ liên kết với một dự án.
403 Tài khoản dịch vụ cần quyền truy cập vào cấu hình RISC của bạn Chuyển đến API Console của dự án API Console và chỉ định vai trò "RISC Configuration Admin" (roles/riscconfigs.admin) cho tài khoản dịch vụ đang thực hiện lệnh gọi đến dự án của bạn bằng cách làm theo các hướng dẫn này.
403 Chỉ tài khoản dịch vụ mới có thể gọi API quản lý luồng. Sau đây là thông tin thêm về cách bạn có thể gọi API Google bằng tài khoản dịch vụ.
403 Điểm cuối phân phối không thuộc bất kỳ miền nào của dự án. Mỗi dự án có một tập hợp các miền được uỷ quyền. Nếu điểm cuối phân phối của bạn (tức là điểm cuối mà bạn dự kiến sẽ nhận được sự kiện RISC) không được lưu trữ trên một trong các điểm cuối đó, thì bạn nên thêm miền của điểm cuối vào bộ đó.
403 Để sử dụng API này, dự án của bạn phải có ít nhất một ứng dụng OAuth được định cấu hình. RISC chỉ hoạt động nếu bạn xây dựng một ứng dụng hỗ trợ tính năng Đăng nhập bằng Google. Cần có ứng dụng OAuth để kết nối. Nếu dự án của bạn không có ứng dụng OAuth, thì có khả năng RISC sẽ không hữu ích cho bạn. Tìm hiểu thêm về cách Google sử dụng OAuth cho API của chúng tôi.
403

Trạng thái không được hỗ trợ.

Trạng thái không hợp lệ.

Hiện tại, chúng tôi chỉ hỗ trợ trạng thái "enabled" và "disabled" cho sự kiện trực tiếp.
404

Dự án không có cấu hình RISC.

Dự án hiện không có cấu hình RISC nên không thể cập nhật trạng thái.

Hãy gọi điểm cuối https://risc.googleapis.com/v1beta/stream:update để tạo một cấu hình mới cho sự kiện trực tiếp.
4XX/5XX Không thể cập nhật trạng thái. Kiểm tra thông báo lỗi chi tiết để biết thêm thông tin.

Truy cập vào phạm vi mã thông báo

Nếu bạn quyết định sử dụng mã thông báo truy cập để xác thực với API RISC, thì đây là các phạm vi mà ứng dụng của bạn phải yêu cầu:

Điểm cuối Phạm vi
https://risc.googleapis.com/v1beta/stream/status https://www.googleapis.com/auth/risc.status.readonly HOẶC https://www.googleapis.com/auth/risc.status.readwrite
https://risc.googleapis.com/v1beta/stream/status:update https://www.googleapis.com/auth/risc.status.readwrite
https://risc.googleapis.com/v1beta/stream https://www.googleapis.com/auth/risc.configuration.readonly HOẶC https://www.googleapis.com/auth/risc.configuration.readwrite
https://risc.googleapis.com/v1beta/stream:update https://www.googleapis.com/auth/risc.configuration.readwrite
https://risc.googleapis.com/v1beta/stream:verify https://www.googleapis.com/auth/risc.verify

Bạn cần trợ giúp?

Trước tiên, hãy xem phần tham chiếu mã lỗi của chúng tôi. Nếu bạn vẫn có câu hỏi, hãy đăng câu hỏi đó trên Stack Overflow với thẻ #SecEvents.