使用跨帐号保护功能保护用户帐号

如果您的应用允许用户使用 Google 登录自己的帐号,您可以通过监听和响应跨帐号保护服务提供的安全性事件通知来提高这些共享用户帐号的安全性。

这些通知会提醒您用户的 Google 帐号发生了重大更改,而这通常也会给用户使用您的应用的帐号带来安全隐患。例如,如果用户的 Google 帐号被盗用,则可能会导致用户帐号通过恢复帐号或使用单点登录的方式遭到盗用。

为了帮助您降低此类事件的潜在风险,Google 会向您的服务对象发送称为安全事件令牌的服务对象。这些令牌只会泄露少量信息,只能显示安全事件类型、发生时间以及受影响用户的标识符,但您可以使用这些令牌采取适当的响应措施。例如,如果用户的 Google 帐号被盗用,您可以暂时停用该用户的“使用 Google 帐号登录”功能,并阻止将帐号恢复电子邮件发送到该用户的 Gmail 地址。

跨帐号保护功能以 OpenID Foundation 开发的 RISC 标准为基础。

概览

如需将跨帐号保护功能与您的应用或服务搭配使用,您必须完成以下任务:

  1. 在 API Console中设置您的项目。

  2. 创建一个事件接收器端点,Google 将向该端点发送安全事件令牌。此端点负责验证它收到的令牌,然后以您选择的任何方式响应安全性事件。

  3. 向 Google 注册您的端点,以开始接收安全性事件令牌。

前提条件

您只会收到已向您授予服务权限以访问其个人资料信息或电子邮件地址的 Google 用户的安全事件令牌。您可以通过请求 profileemail 范围获得此权限。默认情况下,较新版本的使用 Google 帐号登录或旧版 Google 登录 SDK 会请求这些范围,但如果您不使用默认设置,或者直接访问 Google 的 OpenID Connect 端点,请确保您请求了至少一个范围。

在 API Console中设置项目

您必须先在API Console 项目中创建一个服务帐号并启用 RISC API,然后才能开始接收安全性事件令牌。您必须使用在应用中访问 Google 服务(例如 Google 登录)时所用的API Console 项目。

如需创建服务账号,请执行以下操作:

  1. 打开 API Console Credentials page。出现提示时,选择用于在应用中访问 Google 服务的API Console项目。

  2. 点击创建凭据 > 服务账号

  3. 按照这些说明创建具有 RISC Configuration Admin 角色 (roles/riscconfigs.admin) 的新服务帐号。

  4. 为新创建的服务账号创建密钥。选择 JSON 密钥类型,然后点击创建。创建密钥后,您将下载包含服务帐号凭据的 JSON 文件。请将此文件保存在安全的地方,但事件接收器端点也可以访问此文件。

在项目的“凭据”页面上,请记下您用于“使用 Google 帐号登录”或“Google 登录(旧版)”的客户端 ID。通常,您支持的每个平台都有一个客户端 ID。您需要使用这些客户端 ID 来验证安全性事件令牌,如下一部分中所述。

要启用 RISC API,请执行以下操作:

  1. 在API Console中打开 RISC API 页面。确保您用于访问 Google 服务的项目仍处于选中状态。

  2. 阅读 RISC 条款,确保您了解相关要求。

    如果要为组织所拥有的项目启用 API,请确保您有权约束您的组织遵守 RISC 条款。

  3. 仅在您同意 RISC 条款的情况下,点击启用

创建事件接收器端点

如需接收来自 Google 的安全性事件通知,您需要创建一个用于处理 HTTPS POST 请求的 HTTPS 端点。注册此端点(见下文)后,Google 会开始向该端点发布经过加密签名的字符串(称为安全事件令牌)。安全事件令牌是已签名的 JWT,包含单个安全性相关事件的相关信息。

对于您在端点收到的每个安全性事件令牌,请先验证并解码该令牌,然后根据您的服务情况处理相应安全性事件。在解码之前,必须验证事件令牌,以防止来自不法分子的恶意攻击。以下部分介绍了这些任务:

1. 解码并验证安全性事件令牌

由于安全事件令牌是特定类型的 JWT,因此您可以使用任何 JWT 库(例如 jwt.io 上列出的库)来解码和验证它们。无论您使用哪个库,令牌验证代码都必须执行以下操作:

  1. 从 Google 的 RISC 配置文档(位于 https://accounts.google.com/.well-known/risc-configuration)中获取跨帐号保护颁发者标识符 (issuer) 和签名密钥证书 URI (jwks_uri)。
  2. 使用您选择的 JWT 库,从安全性事件令牌的标头中获取签名密钥 ID。
  3. 从 Google 的签名密钥证书文档中,使用您在上一步中获取的密钥 ID 获取公钥。如果文档未包含具有您要查找的 ID 的密钥,很可能是因为安全性事件令牌无效,并且您的端点应返回 HTTP 错误 400。
  4. 使用您选择的 JWT 库,验证以下内容:
    • 系统会使用您在上一步中获取的公钥对安全性事件令牌进行签名。
    • 令牌的 aud 声明是您的应用的其中一个客户端 ID。
    • 令牌的 iss 声明与您从 RISC 发现文档获得的颁发者标识符匹配。请注意,您无需验证令牌的到期时间 (exp),因为安全事件令牌代表历史事件,因此不会过期。

例如:

Java

使用 java-jwtjwks-rsa-java

public DecodedJWT validateSecurityEventToken(String token) {
    DecodedJWT jwt = null;
    try {
        // In a real implementation, get these values from
        // https://accounts.google.com/.well-known/risc-configuration
        String issuer = "accounts.google.com";
        String jwksUri = "https://www.googleapis.com/oauth2/v3/certs";

        // Get the ID of the key used to sign the token.
        DecodedJWT unverifiedJwt = JWT.decode(token);
        String keyId = unverifiedJwt.getKeyId();

        // Get the public key from Google.
        JwkProvider googleCerts = new UrlJwkProvider(new URL(jwksUri), null, null);
        PublicKey publicKey = googleCerts.get(keyId).getPublicKey();

        // Verify and decode the token.
        Algorithm rsa = Algorithm.RSA256((RSAPublicKey) publicKey, null);
        JWTVerifier verifier = JWT.require(rsa)
                .withIssuer(issuer)
                // Get your apps' client IDs from the API console:
                // https://console.developers.google.com/apis/credentials?project=_
                .withAudience("123456789-abcedfgh.apps.googleusercontent.com",
                              "123456789-ijklmnop.apps.googleusercontent.com",
                              "123456789-qrstuvwx.apps.googleusercontent.com")
                .acceptLeeway(Long.MAX_VALUE)  // Don't check for expiration.
                .build();
        jwt = verifier.verify(token);
    } catch (JwkException e) {
        // Key not found. Return HTTP 400.
    } catch (InvalidClaimException e) {

    } catch (JWTDecodeException exception) {
        // Malformed token. Return HTTP 400.
    } catch (MalformedURLException e) {
        // Invalid JWKS URI.
    }
    return jwt;
}

Python

import json
import jwt       # pip install pyjwt
import requests  # pip install requests

def validate_security_token(token, client_ids):
    # Get Google's RISC configuration.
    risc_config_uri = 'https://accounts.google.com/.well-known/risc-configuration'
    risc_config = requests.get(risc_config_uri).json()

    # Get the public key used to sign the token.
    google_certs = requests.get(risc_config['jwks_uri']).json()
    jwt_header = jwt.get_unverified_header(token)
    key_id = jwt_header['kid']
    public_key = None
    for key in google_certs['keys']:
        if key['kid'] == key_id:
            public_key = jwt.algorithms.RSAAlgorithm.from_jwk(json.dumps(key))
    if not public_key:
        raise Exception('Public key certificate not found.')
        # In this situation, return HTTP 400

    # Decode the token, validating its signature, audience, and issuer.
    try:
        token_data = jwt.decode(token, public_key, algorithms='RS256',
                                options={'verify_exp': False},
                                audience=client_ids, issuer=risc_config['issuer'])
    except:
        raise
        # Validation failed. Return HTTP 400.
    return token_data

# Get your apps' client IDs from the API console:
# https://console.developers.google.com/apis/credentials?project=_
client_ids = ['123456789-abcedfgh.apps.googleusercontent.com',
              '123456789-ijklmnop.apps.googleusercontent.com',
              '123456789-qrstuvwx.apps.googleusercontent.com']
token_data = validate_security_token(token, client_ids)

如果令牌有效并且已成功解码,则返回 HTTP 状态 202。 然后,处理令牌指示的安全性事件。

2. 处理安全性事件

解码后的安全事件令牌如以下示例所示:

{
  "iss": "https://accounts.google.com/",
  "aud": "123456789-abcedfgh.apps.googleusercontent.com",
  "iat": 1508184845,
  "jti": "756E69717565206964656E746966696572",
  "events": {
    "https://schemas.openid.net/secevent/risc/event-type/account-disabled": {
      "subject": {
        "subject_type": "iss-sub",
        "iss": "https://accounts.google.com/",
        "sub": "7375626A656374"
      },
      "reason": "hijacking"
    }
  }
}

issaud 声明指示令牌的颁发者 (Google) 和令牌的目标接收者(您的服务)。您在上一步中验证了这些声明。

jti 声明是一个字符串,用于标识单个安全性事件,并且对数据流具有唯一性。您可以使用此标识符来跟踪您收到的安全性事件。

events 声明包含令牌所代表的安全性事件的相关信息。此声明从事件类型标识符到 subject 声明的映射,用于指定此事件关注的用户,以及可能可用的事件的任何其他详细信息。

subject 声明使用用户的唯一 Google 帐号 ID (sub) 标识特定用户。此 Google 帐号 ID 与新版“使用 Google 帐号登录”(JavaScriptHTML)库、旧版 Google 登录库或 OpenID Connect 颁发的 JWT ID 令牌中包含的标识符 (sub) 相同。当声明的 subject_typeid_token_claims 时,它可能还会包含一个带有用户的电子邮件地址的 email 字段。

使用 events 声明中的信息,针对指定用户帐号中的事件类型采取适当的措施。

OAuth 令牌标识符

对于有关各个令牌的 OAuth 事件,令牌主题标识符类型包含以下字段:

  • token_type:仅支持 refresh_token

  • token_identifier_alg:请参阅下表,了解可能的值。

  • token:请参见下表。

token_identifier_alg 令牌
prefix 令牌的前 16 个字符。
hash_base64_sha512_sha512 使用 SHA-512 算法的令牌的双哈希值。

如果您与这些事件集成,建议根据这些可能的值将令牌编入索引,以确保在收到事件时快速匹配。

支持的事件类型

跨帐号保护功能支持以下类型的安全性事件:

事件类型 属性 如何回复
https://schemas.openid.net/secevent/risc/event-type/sessions-revoked 必需:结束当前打开的会话,重新保护用户的帐号。
https://schemas.openid.net/secevent/oauth/event-type/tokens-revoked

必需:如果令牌用于 Google 登录,请终止相应令牌当前打开的会话。此外,您可能需要建议用户设置替代登录方法。

建议:如果令牌用于访问其他 Google API,请删除您存储的所有用户 OAuth 令牌。

https://schemas.openid.net/secevent/oauth/event-type/token-revoked 如需了解令牌标识符,请参阅 OAuth 令牌标识符部分

必需:如果您存储了相应的刷新令牌,请将其删除,并在下次需要访问令牌时请求用户重新同意。

https://schemas.openid.net/secevent/risc/event-type/account-disabled reason=hijacking
reason=bulk-account

必需:如果账号被停用的原因是 hijacking,请结束当前打开的会话,以重新保护用户的账号。

建议:如果帐号被停用的原因是 bulk-account,请分析用户在服务中的活动,并确定适当的后续操作。

建议:如果未提供原因,请为用户停用 Google 登录功能,并使用与用户的 Google 帐号关联的电子邮件地址(通常但不一定是 Gmail 帐号)停用帐号恢复功能。为用户提供备选登录方法。

https://schemas.openid.net/secevent/risc/event-type/account-enabled 建议:为用户重新启用 Google 登录功能,并使用用户的 Google 帐号电子邮件地址重新启用帐号恢复功能。
https://schemas.openid.net/secevent/risc/event-type/account-purged 建议:删除用户的帐号或为其提供替代登录方法。
https://schemas.openid.net/secevent/risc/event-type/account-credential-change-required 建议:请留意服务中的可疑活动并采取适当措施。
https://schemas.openid.net/secevent/risc/event-type/verification state=state 建议:记录已收到测试令牌。

重复和错过的活动

跨帐号保护服务将尝试重新传送它认为尚未传送的事件。因此,您有时可能会多次收到同一事件。如果这可能会导致用户反复执行某些操作,给用户带来不便,请考虑使用 jti 声明(这是事件的唯一标识符)来对事件去重。Google Cloud Dataflow 等外部工具可以帮助您执行去重数据流。

请注意,系统在传送事件时重试次数有限,因此,如果接收器长时间关闭,您可能会永久错过一些事件。

注册接收器

如需开始接收安全性事件,请使用 RISC API 注册接收器端点。调用 RISC API 必须附带授权令牌。

您只会收到针对应用用户的安全事件,因此您需要先在 GCP 项目中配置 OAuth 同意屏幕,然后才能执行下述步骤。

1. 生成授权令牌

要为 RISC API 生成授权令牌,请使用以下声明创建 JWT:

{
  "iss": SERVICE_ACCOUNT_EMAIL,
  "sub": SERVICE_ACCOUNT_EMAIL,
  "aud": "https://risc.googleapis.com/google.identity.risc.v1beta.RiscManagementService",
  "iat": CURRENT_TIME,
  "exp": CURRENT_TIME + 3600
}

使用服务帐号的私钥为 JWT 签名,您可以在创建服务帐号密钥时下载的 JSON 文件中找到私钥。

例如:

Java

使用 java-jwtGoogle 的 Auth 库

public static String makeBearerToken() {
    String token = null;
    try {
        // Get signing key and client email address.
        FileInputStream is = new FileInputStream("your-service-account-credentials.json");
        ServiceAccountCredentials credentials =
               (ServiceAccountCredentials) GoogleCredentials.fromStream(is);
        PrivateKey privateKey = credentials.getPrivateKey();
        String keyId = credentials.getPrivateKeyId();
        String clientEmail = credentials.getClientEmail();

        // Token must expire in exactly one hour.
        Date issuedAt = new Date();
        Date expiresAt = new Date(issuedAt.getTime() + 3600000);

        // Create signed token.
        Algorithm rsaKey = Algorithm.RSA256(null, (RSAPrivateKey) privateKey);
        token = JWT.create()
                .withIssuer(clientEmail)
                .withSubject(clientEmail)
                .withAudience("https://risc.googleapis.com/google.identity.risc.v1beta.RiscManagementService")
                .withIssuedAt(issuedAt)
                .withExpiresAt(expiresAt)
                .withKeyId(keyId)
                .sign(rsaKey);
    } catch (ClassCastException e) {
        // Credentials file doesn't contain a service account key.
    } catch (IOException e) {
        // Credentials file couldn't be loaded.
    }
    return token;
}

Python

import json
import time

import jwt  # pip install pyjwt

def make_bearer_token(credentials_file):
    with open(credentials_file) as service_json:
        service_account = json.load(service_json)
        issuer = service_account['client_email']
        subject = service_account['client_email']
        private_key_id = service_account['private_key_id']
        private_key = service_account['private_key']
    issued_at = int(time.time())
    expires_at = issued_at + 3600
    payload = {'iss': issuer,
               'sub': subject,
               'aud': 'https://risc.googleapis.com/google.identity.risc.v1beta.RiscManagementService',
               'iat': issued_at,
               'exp': expires_at}
    encoded = jwt.encode(payload, private_key, algorithm='RS256',
                         headers={'kid': private_key_id})
    return encoded

auth_token = make_bearer_token('your-service-account-credentials.json')

此授权令牌可用于进行 RISC API 调用,时长为一小时。令牌过期后,请生成一个新令牌以继续进行 RISC API 调用。

2. 调用 RISC 数据流配置 API

现在您已拥有授权令牌,可以使用 RISC API 配置您项目的安全事件流,包括注册接收器端点。

为此,请向 https://risc.googleapis.com/v1beta/stream:update 发出 HTTPS POST 请求,并指定接收器端点和您感兴趣的安全事件类型

POST /v1beta/stream:update HTTP/1.1
Host: risc.googleapis.com
Authorization: Bearer AUTH_TOKEN

{
  "delivery": {
    "delivery_method":
      "https://schemas.openid.net/secevent/risc/delivery-method/push",
    "url": RECEIVER_ENDPOINT
  },
  "events_requested": [
    SECURITY_EVENT_TYPES
  ]
}

例如:

Java

public static void configureEventStream(final String receiverEndpoint,
                                        final List<String> eventsRequested,
                                        String authToken) throws IOException {
    ObjectMapper jsonMapper = new ObjectMapper();
    String streamConfig = jsonMapper.writeValueAsString(new Object() {
        public Object delivery = new Object() {
            public String delivery_method =
                    "https://schemas.openid.net/secevent/risc/delivery-method/push";
            public String url = receiverEndpoint;
        };
        public List<String> events_requested = eventsRequested;
    });

    HttpPost updateRequest = new HttpPost("https://risc.googleapis.com/v1beta/stream:update");
    updateRequest.addHeader("Content-Type", "application/json");
    updateRequest.addHeader("Authorization", "Bearer " + authToken);
    updateRequest.setEntity(new StringEntity(streamConfig));

    HttpResponse updateResponse = new DefaultHttpClient().execute(updateRequest);
    Header[] responseContentTypeHeaders = updateResponse.getHeaders("Content-Type");
    StatusLine responseStatus = updateResponse.getStatusLine();
    int statusCode = responseStatus.getStatusCode();
    HttpEntity entity = updateResponse.getEntity();
    // Now handle response
}

// ...

configureEventStream(
        "https://your-service.example.com/security-event-receiver",
        Arrays.asList(
                "https://schemas.openid.net/secevent/risc/event-type/account-credential-change-required",
                "https://schemas.openid.net/secevent/risc/event-type/account-disabled"),
        authToken);

Python

import requests

def configure_event_stream(auth_token, receiver_endpoint, events_requested):
    stream_update_endpoint = 'https://risc.googleapis.com/v1beta/stream:update'
    headers = {'Authorization': 'Bearer {}'.format(auth_token)}
    stream_cfg = {'delivery': {'delivery_method': 'https://schemas.openid.net/secevent/risc/delivery-method/push',
                               'url': receiver_endpoint},
                  'events_requested': events_requested}
    response = requests.post(stream_update_endpoint, json=stream_cfg, headers=headers)
    response.raise_for_status()  # Raise exception for unsuccessful requests

configure_event_stream(auth_token, 'https://your-service.example.com/security-event-receiver',
                       ['https://schemas.openid.net/secevent/risc/event-type/account-credential-change-required',
                        'https://schemas.openid.net/secevent/risc/event-type/account-disabled'])

如果请求返回 HTTP 200,则表示事件流已成功配置,您的接收器端点应该开始接收安全事件令牌。下一部分将介绍如何测试数据流配置和端点,以验证一切是否协同工作。

获取并更新当前的数据流配置

日后如果您想修改数据流配置,可以向 https://risc.googleapis.com/v1beta/stream 发出经过授权的 GET 请求以获取当前数据流配置,修改响应正文,然后将修改后的配置 POST 回 https://risc.googleapis.com/v1beta/stream:update(如上所述)。

停止和恢复事件流

如果您需要停止来自 Google 的事件流,请在请求正文中使用 { "status": "disabled" }https://risc.googleapis.com/v1beta/stream/status:update 发出已获授权的 POST 请求。数据流停用后,Google 不会向您的端点发送事件,也不会在安全性事件发生时缓冲事件。如需重新启用事件流,请将 { "status": "enabled" } POST 到同一端点。

3. 可选:测试您的数据流配置

您可以通过事件流发送验证令牌,验证数据流配置和接收器端点能否正确协作。此令牌可以包含唯一字符串,可用于验证端点是否已收到该令牌。如需使用此流程,请务必在注册接收器时订阅 https://schemas.openid.net/secevent/risc/event-type/verification 事件类型。

如需请求验证令牌,请向 https://risc.googleapis.com/v1beta/stream:verify 发出已获授权的 HTTPS POST 请求。在请求正文中,指定某个标识字符串:

{
  "state": "ANYTHING"
}

例如:

Java

public static void testEventStream(final String stateString,
                                   String authToken) throws IOException {
    ObjectMapper jsonMapper = new ObjectMapper();
    String json = jsonMapper.writeValueAsString(new Object() {
        public String state = stateString;
    });

    HttpPost updateRequest = new HttpPost("https://risc.googleapis.com/v1beta/stream:verify");
    updateRequest.addHeader("Content-Type", "application/json");
    updateRequest.addHeader("Authorization", "Bearer " + authToken);
    updateRequest.setEntity(new StringEntity(json));

    HttpResponse updateResponse = new DefaultHttpClient().execute(updateRequest);
    Header[] responseContentTypeHeaders = updateResponse.getHeaders("Content-Type");
    StatusLine responseStatus = updateResponse.getStatusLine();
    int statusCode = responseStatus.getStatusCode();
    HttpEntity entity = updateResponse.getEntity();
    // Now handle response
}

// ...

testEventStream("Test token requested at " + new Date().toString(), authToken);

Python

import requests
import time

def test_event_stream(auth_token, nonce):
    stream_verify_endpoint = 'https://risc.googleapis.com/v1beta/stream:verify'
    headers = {'Authorization': 'Bearer {}'.format(auth_token)}
    state = {'state': nonce}
    response = requests.post(stream_verify_endpoint, json=state, headers=headers)
    response.raise_for_status()  # Raise exception for unsuccessful requests

test_event_stream(auth_token, 'Test token requested at {}'.format(time.ctime()))

如果请求成功,验证令牌将发送到您注册的端点。例如,如果您的端点通过简单地记录验证令牌来处理验证令牌,您可以检查日志以确认已收到令牌。

错误代码参考

RISC API 可能会返回以下错误:

错误代码 错误消息 建议操作
400 数据流配置必须包含 $fieldname 字段。 您向 https://risc.googleapis.com/v1beta/stream:update 端点发出的请求无效或无法解析。请在您的请求中注明 $fieldname
401 未获授权。 授权失败。请确保您在请求中附加了 授权令牌,并且该令牌有效且未过期。
403 传送端点必须是 HTTPS 网址。 您的传送端点(即您希望将 RISC 事件传送到的端点)必须是 HTTPS。我们不会向 HTTP 网址发送 RISC 事件。
403 现有的数据流配置没有符合 RISC 规范的传送方法。 您的 Google Cloud 项目必须已有 RISC 配置。如果您在使用 Firebase 且启用了 Google 登录功能,则 Firebase 将为您的项目管理 RISC;您将无法创建自定义配置。如果您的 Firebase 项目使用的不是 Google 登录,请停用该功能,然后在一小时后再次尝试更新。
403 找不到项目。 确保您为正确的项目使用了正确的服务帐号。您可能正在使用与已删除的项目关联的服务账号。了解 如何查看与项目关联的所有服务帐号
403 服务账号需要有权访问您的 RISC 配置 前往您项目的 API Console ,按照这些说明,将“RISC Configuration Admin”角色 (roles/riscconfigs.admin) 分配给对您的项目发出调用的服务账号。
403 数据流管理 API 只能由服务账号调用。 详细了解如何使用服务帐号调用 Google API
403 分发端点不属于您的项目的任何网域。 每个项目都有一组已获授权的网域。如果您的传送端点(即您希望将 RISC 事件传送到的端点)未托管在其中,我们要求您将端点的网域添加到该集合中。
403 要使用此 API,您的项目必须配置至少一个 OAuth 客户端。 只有当您构建支持 Google 登录的应用时,RISC 才有效。此连接需要 OAuth 客户端。如果您的项目没有 OAuth 客户端,那么 RISC 可能对您不适用。详细了解 Google 如何针对我们的 API 使用 OAuth
403

状态不受支持。

状态无效。

我们目前仅支持数据流状态“enabled”和“disabled”。
404

项目没有 RISC 配置。

项目尚无 RISC 配置,无法更新状态。

调用 https://risc.googleapis.com/v1beta/stream:update 端点以创建新的数据流配置。
4XX/5XX 无法更新状态。 如需了解详情,请查看详细的错误消息。

访问令牌范围

如果您决定使用访问令牌向 RISC API 进行身份验证,您的应用必须请求以下范围:

端点
https://risc.googleapis.com/v1beta/stream/status https://www.googleapis.com/auth/risc.status.readonlyhttps://www.googleapis.com/auth/risc.status.readwrite
https://risc.googleapis.com/v1beta/stream/status:update https://www.googleapis.com/auth/risc.status.readwrite
https://risc.googleapis.com/v1beta/stream https://www.googleapis.com/auth/risc.configuration.readonlyhttps://www.googleapis.com/auth/risc.configuration.readwrite
https://risc.googleapis.com/v1beta/stream:update https://www.googleapis.com/auth/risc.configuration.readwrite
https://risc.googleapis.com/v1beta/stream:verify https://www.googleapis.com/auth/risc.verify

需要帮助?

首先,请查看我们的错误代码参考部分。如果您仍有疑问,请在 Stack Overflow 上发帖咨询,并附上 #SecEvents 标记。