使用跨帐号保护功能保护用户帐号

如果您的应用允许用户使用 Google 帐号登录其帐号,您就可以监听并响应跨帐号保护服务提供的安全事件通知,从而提高这些共享帐号的安全性。

这些通知会提醒您用户的 Google 帐号发生了重大更改,而这通常也会影响他们在您应用中的帐号安全。例如,如果用户的 Google 帐号被盗用,则可能会导致用户帐号通过电子邮件帐号恢复或使用单点登录的方式遭到盗用。

为帮助您降低此类事件的风险,Google 会向您发送称为安全事件令牌的服务对象。这些令牌只会公开安全事件类型、发生时间以及受影响用户的标识符等信息,但您可以使用这些令牌采取适当的响应措施。例如,如果用户的 Google 帐号被盗用,您可以为该用户暂时停用“使用 Google 帐号登录”功能,并阻止将帐号恢复电子邮件发送到该用户的 Gmail 地址。

跨帐号保护基于 OpenID Foundation 开发的 RISC 标准

概览

如需将跨帐号保护功能与您的应用或服务搭配使用,您必须完成以下任务:

  1. 在 API Console中设置您的项目。

  2. 创建一个事件接收器端点,Google 将向该端点发送安全事件令牌。此端点负责验证它收到的令牌,然后以您选择的任何方式响应安全事件。

  3. 向 Google 注册您的端点以开始接收安全事件令牌。

前提条件

您只会收到已授权您的服务访问其个人资料信息或电子邮件地址的 Google 用户的安全事件令牌。您可以通过请求 profileemail 范围来获取此权限。较新的使用 Google 账号登录或旧版 Google 登录 SDK 默认会请求这些范围,但如果您不使用默认设置,或直接访问 Google 的 OpenID Connect 端点,请确保您请求了至少一个范围。

在 API Console中设置项目

您必须先创建一个服务帐号,并在您的API Console 项目中启用 RISC API,然后才能开始接收安全性事件令牌。您必须在应用中使用用于访问 Google 服务(例如 Google 登录)的同一API Console 项目。

如需创建服务账号,请执行以下操作:

  1. 打开 API Console Credentials page。出现提示时,请选择您用于在应用中访问 Google 服务的API Console项目。

  2. 点击创建凭据 > 服务账号

  3. 按照这些说明创建具有 RISC Configuration Admin 角色 (roles/riscconfigs.admin) 的新服务帐号。

  4. 为新创建的服务帐号创建密钥。选择 JSON 密钥类型,然后点击创建。创建密钥后,您将下载包含服务帐号凭据的 JSON 文件。将此文件保存在安全的地方,您的事件接收器端点也可以访问它。

在项目的“凭据”页面上,另请记下您用于“使用 Google 账号登录”或“Google 登录(旧版)”的客户端 ID。通常,您支持的每个平台都有一个客户端 ID。您将需要这些客户端 ID 来验证安全性事件令牌,如下一部分中所述。

如需启用 RISC API,请执行以下操作:

  1. 在API Console中打开 RISC API 页面。确保您用于访问 Google 服务的项目仍处于选中状态。

  2. 阅读 RISC 条款并确保您了解相关要求。

    如果要为组织拥有的项目启用 API,请确保您有权约束您的组织遵守 RISC 条款。

  3. 仅在您同意 RISC 条款的情况下,才点击启用

创建事件接收器端点

如需接收来自 Google 的安全事件通知,您需要创建一个处理 HTTPS POST 请求的 HTTPS 端点。注册此端点后(见下文),Google 便会开始向该端点发布经过加密签名的字符串(称为安全事件令牌)。安全性事件令牌是已签名的 JWT,包含单个安全相关事件的相关信息。

对于您在端点上收到的每个安全性事件令牌,请先验证并解码该令牌,然后根据您的服务情况处理相应安全性事件。务必在解码之前验证事件令牌,以防止不良行为者进行恶意攻击。以下部分介绍了这些任务:

1. 解码并验证安全性事件令牌

由于安全性事件令牌是一种特定类型的 JWT,因此您可以使用任何 JWT 库(例如 jwt.io 上列出的库)来解码和验证令牌。无论您使用哪个库,令牌验证代码都必须执行以下操作:

  1. 从 Google 的 RISC 配置文档(位于 https://accounts.google.com/.well-known/risc-configuration 处)中获取跨帐号保护服务颁发者标识符 (issuer) 和签名密钥证书 URI (jwks_uri)。
  2. 使用您选择的 JWT 库,从安全事件令牌的标头中获取签名密钥 ID。
  3. 从 Google 的签名密钥证书文档中,使用您在上一步中获取的密钥 ID 获取公钥。如果文档不包含具有您要查找的 ID 的密钥,则安全性事件令牌可能无效,并且您的端点应返回 HTTP 错误 400。
  4. 使用您选择的 JWT 库,验证以下内容:
    • 安全事件令牌使用您在上一步中获取的公钥进行签名。
    • 该令牌的 aud 声明是您的应用的其中一个客户端 ID。
    • 令牌的 iss 声明与从 RISC 发现文档获得的发卡机构标识符匹配。请注意,您无需验证令牌的有效期 (exp),因为安全事件令牌代表历史事件,因此不会过期。

例如:

Java

使用 java-jwtjwks-rsa-java

public DecodedJWT validateSecurityEventToken(String token) {
    DecodedJWT jwt = null;
    try {
        // In a real implementation, get these values from
        // https://accounts.google.com/.well-known/risc-configuration
        String issuer = "accounts.google.com";
        String jwksUri = "https://www.googleapis.com/oauth2/v3/certs";

        // Get the ID of the key used to sign the token.
        DecodedJWT unverifiedJwt = JWT.decode(token);
        String keyId = unverifiedJwt.getKeyId();

        // Get the public key from Google.
        JwkProvider googleCerts = new UrlJwkProvider(new URL(jwksUri), null, null);
        PublicKey publicKey = googleCerts.get(keyId).getPublicKey();

        // Verify and decode the token.
        Algorithm rsa = Algorithm.RSA256((RSAPublicKey) publicKey, null);
        JWTVerifier verifier = JWT.require(rsa)
                .withIssuer(issuer)
                // Get your apps' client IDs from the API console:
                // https://console.developers.google.com/apis/credentials?project=_
                .withAudience("123456789-abcedfgh.apps.googleusercontent.com",
                              "123456789-ijklmnop.apps.googleusercontent.com",
                              "123456789-qrstuvwx.apps.googleusercontent.com")
                .acceptLeeway(Long.MAX_VALUE)  // Don't check for expiration.
                .build();
        jwt = verifier.verify(token);
    } catch (JwkException e) {
        // Key not found. Return HTTP 400.
    } catch (InvalidClaimException e) {

    } catch (JWTDecodeException exception) {
        // Malformed token. Return HTTP 400.
    } catch (MalformedURLException e) {
        // Invalid JWKS URI.
    }
    return jwt;
}

Python

import json
import jwt       # pip install pyjwt
import requests  # pip install requests

def validate_security_token(token, client_ids):
    # Get Google's RISC configuration.
    risc_config_uri = 'https://accounts.google.com/.well-known/risc-configuration'
    risc_config = requests.get(risc_config_uri).json()

    # Get the public key used to sign the token.
    google_certs = requests.get(risc_config['jwks_uri']).json()
    jwt_header = jwt.get_unverified_header(token)
    key_id = jwt_header['kid']
    public_key = None
    for key in google_certs['keys']:
        if key['kid'] == key_id:
            public_key = jwt.algorithms.RSAAlgorithm.from_jwk(json.dumps(key))
    if not public_key:
        raise Exception('Public key certificate not found.')
        # In this situation, return HTTP 400

    # Decode the token, validating its signature, audience, and issuer.
    try:
        token_data = jwt.decode(token, public_key, algorithms='RS256',
                                options={'verify_exp': False},
                                audience=client_ids, issuer=risc_config['issuer'])
    except:
        raise
        # Validation failed. Return HTTP 400.
    return token_data

# Get your apps' client IDs from the API console:
# https://console.developers.google.com/apis/credentials?project=_
client_ids = ['123456789-abcedfgh.apps.googleusercontent.com',
              '123456789-ijklmnop.apps.googleusercontent.com',
              '123456789-qrstuvwx.apps.googleusercontent.com']
token_data = validate_security_token(token, client_ids)

如果令牌有效且已成功解码,则返回 HTTP 状态 202。然后,处理令牌指示的安全性事件。

2. 处理安全性事件

解码后的安全事件令牌如以下示例所示:

{
  "iss": "https://accounts.google.com/",
  "aud": "123456789-abcedfgh.apps.googleusercontent.com",
  "iat": 1508184845,
  "jti": "756E69717565206964656E746966696572",
  "events": {
    "https://schemas.openid.net/secevent/risc/event-type/account-disabled": {
      "subject": {
        "subject_type": "iss-sub",
        "iss": "https://accounts.google.com/",
        "sub": "7375626A656374"
      },
      "reason": "hijacking"
    }
  }
}

issaud 声明分别指示令牌的颁发者 (Google) 和令牌的预期接收者(您的服务)。您在上一步中验证了这些声明。

jti 声明是一个字符串,用于标识单个安全性事件,并且对数据流具有唯一性。您可以使用此标识符来跟踪您收到的安全性事件。

events 声明包含令牌所代表的安全事件的相关信息。此声明是从事件类型标识符到 subject 声明的映射,该声明指定了此事件所涉及的用户,以及可能提供的关于该事件的任何其他详细信息。

subject 声明使用用户的唯一 Google 账号 ID (sub) 标识特定用户。此 Google 账号 ID 与新版“使用 Google 账号登录”(JavaScriptHTML)库、旧版 Google 登录库或 OpenID Connect 颁发的 JWT ID 令牌中包含的标识符 (sub) 相同。当声明的 subject_typeid_token_claims 时,它还可能会包含带有用户的电子邮件地址的 email 字段。

使用 events 声明中的信息,针对指定用户账号中的事件类型执行适当的操作。

OAuth 令牌标识符

对于关于各个令牌的 OAuth 事件,令牌主题标识符类型包含以下字段:

  • token_type:仅支持 refresh_token

  • token_identifier_alg:请参阅下表,了解可能的值。

  • token:请参阅下表。

token_identifier_alg 令牌
prefix 令牌的前 16 个字符。
hash_base64_sha512_sha512 使用 SHA-512 的令牌的双哈希值。

如果您集成了这些事件,建议您根据这些可能的值将令牌编入索引,以确保在收到事件时快速匹配。

支持的事件类型

跨帐号保护功能支持以下类型的安全事件:

事件类型 属性 如何回复
https://schemas.openid.net/secevent/risc/event-type/sessions-revoked 必需:通过结束用户当前打开的会话,重新保护其帐号。
https://schemas.openid.net/secevent/oauth/event-type/tokens-revoked

必需:如果令牌用于 Google 登录,请终止当前打开的会话。此外,您可能需要建议用户设置替代登录方法。

建议:如果令牌用于访问其他 Google API,请删除您存储的所有用户 OAuth 令牌。

https://schemas.openid.net/secevent/oauth/event-type/token-revoked 如需了解令牌标识符,请参阅 OAuth 令牌标识符部分

必需:如果您存储相应的刷新令牌,请删除该令牌,并在下次需要访问令牌时请求用户重新同意。

https://schemas.openid.net/secevent/risc/event-type/account-disabled reason=hijacking
reason=bulk-account

必需:如果帐号被停用的原因是 hijacking,请结束用户当前打开的会话,以重新确保用户帐号的安全。

建议:如果账号被停用的原因是 bulk-account,请分析用户在服务中的活动,并确定适当的后续操作。

建议:如果未提供原因,请为用户停用 Google 登录功能,并使用与用户的 Google 账号(通常但不一定是 Gmail 账号)关联的电子邮件地址停用账号恢复功能。为用户提供备选登录方法。

https://schemas.openid.net/secevent/risc/event-type/account-enabled 建议:为用户重新启用 Google 登录功能,并使用用户的 Google 帐号电子邮件地址重新启用帐号恢复功能。
https://schemas.openid.net/secevent/risc/event-type/account-credential-change-required 建议:请留意服务中的可疑活动并采取适当的措施。
https://schemas.openid.net/secevent/risc/event-type/verification state=state 建议:记录已收到测试令牌。

重复和错过的活动

跨帐号保护功能将尝试重新传送它认为尚未传送的事件。因此,您有时可能会多次收到相同的事件。如果这可能会导致用户重复执行一些操作,给用户带来不便,请考虑使用 jti 声明(这是事件的唯一标识符)来对事件去重。Google Cloud Dataflow 等外部工具可以帮助您执行去重数据流。

请注意,事件的重试次数有限,因此如果接收器长时间关闭,您可能会永久错过某些事件。

注册接收器

如需开始接收安全性事件,请使用 RISC API 注册接收器端点。调用 RISC API 必须附带授权令牌。

您将仅收到应用用户的安全性事件,因此您需要在 GCP 项目中配置 OAuth 同意屏幕,这是执行下述步骤的前提条件。

1. 生成授权令牌

要为 RISC API 生成授权令牌,请使用以下声明创建 JWT:

{
  "iss": SERVICE_ACCOUNT_EMAIL,
  "sub": SERVICE_ACCOUNT_EMAIL,
  "aud": "https://risc.googleapis.com/google.identity.risc.v1beta.RiscManagementService",
  "iat": CURRENT_TIME,
  "exp": CURRENT_TIME + 3600
}

使用服务帐号的私钥为 JWT 签名,该私钥可在创建服务帐号密钥时下载的 JSON 文件中找到。

例如:

Java

使用 java-jwtGoogle 的身份验证库

public static String makeBearerToken() {
    String token = null;
    try {
        // Get signing key and client email address.
        FileInputStream is = new FileInputStream("your-service-account-credentials.json");
        ServiceAccountCredentials credentials =
               (ServiceAccountCredentials) GoogleCredentials.fromStream(is);
        PrivateKey privateKey = credentials.getPrivateKey();
        String keyId = credentials.getPrivateKeyId();
        String clientEmail = credentials.getClientEmail();

        // Token must expire in exactly one hour.
        Date issuedAt = new Date();
        Date expiresAt = new Date(issuedAt.getTime() + 3600000);

        // Create signed token.
        Algorithm rsaKey = Algorithm.RSA256(null, (RSAPrivateKey) privateKey);
        token = JWT.create()
                .withIssuer(clientEmail)
                .withSubject(clientEmail)
                .withAudience("https://risc.googleapis.com/google.identity.risc.v1beta.RiscManagementService")
                .withIssuedAt(issuedAt)
                .withExpiresAt(expiresAt)
                .withKeyId(keyId)
                .sign(rsaKey);
    } catch (ClassCastException e) {
        // Credentials file doesn't contain a service account key.
    } catch (IOException e) {
        // Credentials file couldn't be loaded.
    }
    return token;
}

Python

import json
import time

import jwt  # pip install pyjwt

def make_bearer_token(credentials_file):
    with open(credentials_file) as service_json:
        service_account = json.load(service_json)
        issuer = service_account['client_email']
        subject = service_account['client_email']
        private_key_id = service_account['private_key_id']
        private_key = service_account['private_key']
    issued_at = int(time.time())
    expires_at = issued_at + 3600
    payload = {'iss': issuer,
               'sub': subject,
               'aud': 'https://risc.googleapis.com/google.identity.risc.v1beta.RiscManagementService',
               'iat': issued_at,
               'exp': expires_at}
    encoded = jwt.encode(payload, private_key, algorithm='RS256',
                         headers={'kid': private_key_id})
    return encoded

auth_token = make_bearer_token('your-service-account-credentials.json')

此授权令牌可用于一小时内进行 RISC API 调用。令牌过期后,请生成一个新令牌以继续进行 RISC API 调用。

2. 调用 RISC 数据流配置 API

现在您已经有了授权令牌,接下来可以使用 RISC API 配置您项目的安全事件流,包括注册接收器端点。

为此,请向 https://risc.googleapis.com/v1beta/stream:update 发出 HTTPS POST 请求,指定接收器端点以及您感兴趣的安全事件类型

POST /v1beta/stream:update HTTP/1.1
Host: risc.googleapis.com
Authorization: Bearer AUTH_TOKEN

{
  "delivery": {
    "delivery_method":
      "https://schemas.openid.net/secevent/risc/delivery-method/push",
    "url": RECEIVER_ENDPOINT
  },
  "events_requested": [
    SECURITY_EVENT_TYPES
  ]
}

例如:

Java

public static void configureEventStream(final String receiverEndpoint,
                                        final List<String> eventsRequested,
                                        String authToken) throws IOException {
    ObjectMapper jsonMapper = new ObjectMapper();
    String streamConfig = jsonMapper.writeValueAsString(new Object() {
        public Object delivery = new Object() {
            public String delivery_method =
                    "https://schemas.openid.net/secevent/risc/delivery-method/push";
            public String url = receiverEndpoint;
        };
        public List<String> events_requested = eventsRequested;
    });

    HttpPost updateRequest = new HttpPost("https://risc.googleapis.com/v1beta/stream:update");
    updateRequest.addHeader("Content-Type", "application/json");
    updateRequest.addHeader("Authorization", "Bearer " + authToken);
    updateRequest.setEntity(new StringEntity(streamConfig));

    HttpResponse updateResponse = new DefaultHttpClient().execute(updateRequest);
    Header[] responseContentTypeHeaders = updateResponse.getHeaders("Content-Type");
    StatusLine responseStatus = updateResponse.getStatusLine();
    int statusCode = responseStatus.getStatusCode();
    HttpEntity entity = updateResponse.getEntity();
    // Now handle response
}

// ...

configureEventStream(
        "https://your-service.example.com/security-event-receiver",
        Arrays.asList(
                "https://schemas.openid.net/secevent/risc/event-type/account-credential-change-required",
                "https://schemas.openid.net/secevent/risc/event-type/account-disabled"),
        authToken);

Python

import requests

def configure_event_stream(auth_token, receiver_endpoint, events_requested):
    stream_update_endpoint = 'https://risc.googleapis.com/v1beta/stream:update'
    headers = {'Authorization': 'Bearer {}'.format(auth_token)}
    stream_cfg = {'delivery': {'delivery_method': 'https://schemas.openid.net/secevent/risc/delivery-method/push',
                               'url': receiver_endpoint},
                  'events_requested': events_requested}
    response = requests.post(stream_update_endpoint, json=stream_cfg, headers=headers)
    response.raise_for_status()  # Raise exception for unsuccessful requests

configure_event_stream(auth_token, 'https://your-service.example.com/security-event-receiver',
                       ['https://schemas.openid.net/secevent/risc/event-type/account-credential-change-required',
                        'https://schemas.openid.net/secevent/risc/event-type/account-disabled'])

如果请求返回 HTTP 200,则表示事件流已成功配置,您的接收器端点应该开始接收安全事件令牌。下一部分将介绍如何测试数据流配置和端点,以验证一切是否协同工作。

获取并更新当前的数据流配置

日后如果您想修改数据流配置,可以向 https://risc.googleapis.com/v1beta/stream 发出已获授权的 GET 请求以获取当前数据流配置,修改响应正文,然后将修改后的配置 POST 回 https://risc.googleapis.com/v1beta/stream:update(如上所述)。

停止和恢复事件流

如果您需要停止来自 Google 的事件流,请在请求正文中使用 { "status": "disabled" }https://risc.googleapis.com/v1beta/stream/status:update 发出已获授权的 POST 请求。数据流停用后,Google 不会将事件发送到您的端点,也不会在安全性事件发生时缓冲事件。如需重新启用事件流,请将 { "status": "enabled" } POST 到同一端点。

3. 可选:测试数据流配置

您可以通过事件流发送验证令牌,验证您的数据流配置和接收器端点能否正常运行。此令牌可以包含唯一字符串,可用于验证端点是否已收到该令牌。如需使用此流程,请务必在注册接收器时订阅 https://schemas.openid.net/secevent/risc/event-type/verification 事件类型。

如需请求验证令牌,请向 https://risc.googleapis.com/v1beta/stream:verify 发出已获授权的 HTTPS POST 请求。在请求正文中,指定某个标识性字符串:

{
  "state": "ANYTHING"
}

例如:

Java

public static void testEventStream(final String stateString,
                                   String authToken) throws IOException {
    ObjectMapper jsonMapper = new ObjectMapper();
    String json = jsonMapper.writeValueAsString(new Object() {
        public String state = stateString;
    });

    HttpPost updateRequest = new HttpPost("https://risc.googleapis.com/v1beta/stream:verify");
    updateRequest.addHeader("Content-Type", "application/json");
    updateRequest.addHeader("Authorization", "Bearer " + authToken);
    updateRequest.setEntity(new StringEntity(json));

    HttpResponse updateResponse = new DefaultHttpClient().execute(updateRequest);
    Header[] responseContentTypeHeaders = updateResponse.getHeaders("Content-Type");
    StatusLine responseStatus = updateResponse.getStatusLine();
    int statusCode = responseStatus.getStatusCode();
    HttpEntity entity = updateResponse.getEntity();
    // Now handle response
}

// ...

testEventStream("Test token requested at " + new Date().toString(), authToken);

Python

import requests
import time

def test_event_stream(auth_token, nonce):
    stream_verify_endpoint = 'https://risc.googleapis.com/v1beta/stream:verify'
    headers = {'Authorization': 'Bearer {}'.format(auth_token)}
    state = {'state': nonce}
    response = requests.post(stream_verify_endpoint, json=state, headers=headers)
    response.raise_for_status()  # Raise exception for unsuccessful requests

test_event_stream(auth_token, 'Test token requested at {}'.format(time.ctime()))

如果请求成功,验证令牌将发送到您注册的端点。例如,如果您的端点通过简单地记录验证令牌来处理验证令牌,您可以检查日志以确认已收到令牌。

错误代码参考

RISC API 可能会返回以下错误:

错误代码 错误消息 建议操作
400 数据流配置必须包含 $fieldname 字段。 您向 https://risc.googleapis.com/v1beta/stream:update 端点发出的请求无效或无法解析。请在请求中包含 $fieldname
401 未获授权。 授权失败。请务必在请求中附加 授权令牌,并且该令牌有效且未过期。
403 传送端点必须是 HTTPS 网址。 您的传送端点(即您希望将 RISC 事件传送到的端点)必须为 HTTPS。我们不会向 HTTP 网址发送 RISC 事件。
403 现有的数据流配置没有符合规范的 RISC 传送方法。 您的 Google Cloud 项目必须已有 RISC 配置。如果您使用的是 Firebase 并启用了 Google 登录功能,则 Firebase 将为您的项目管理 RISC;您将无法创建自定义配置。如果您的 Firebase 项目没有使用 Google 登录功能,请停用该功能,然后在一小时后再次尝试更新。
403 找不到项目。 确保您为正确的项目使用了正确的服务帐号。您可能正在使用与已删除的项目关联的服务账号。了解 如何查看与项目关联的所有服务账号
403 服务账号需要访问您的 RISC 配置 前往您项目的 API Console ,然后按照这些说明,将“RISC Configuration Admin”角色 (roles/riscconfigs.admin) 分配给调用您项目的服务帐号。
403 视频流管理 API 只能由服务账号调用。 详细了解如何使用服务帐号调用 Google API
403 递送端点不属于您项目的任何网域。 每个项目都有一组已获授权的网域。如果您的传送端点(即您希望将 RISC 事件传送到的端点)未托管在其中一个端点上,我们要求您将该端点的网域添加到该集合中。
403 要使用此 API,您的项目必须至少配置一个 OAuth 客户端。 仅当您构建了支持 Google 登录的应用时,RISC 才有效。此连接需要 OAuth 客户端。如果您的项目没有 OAuth 客户端,那么 RISC 可能对您不实用。详细了解 Google 如何针对我们的 API 使用 OAuth
403

状态不受支持。

状态无效。

我们目前仅支持数据流状态“enabled”和“disabled”。
404

项目没有 RISC 配置。

项目目前还没有 RISC 配置,无法更新状态。

调用 https://risc.googleapis.com/v1beta/stream:update 端点以创建新的数据流配置。
4XX/5XX 无法更新状态。 如需了解详情,请查看详细的错误消息。

访问令牌范围

如果您决定使用访问令牌向 RISC API 进行身份验证,那么您的应用必须请求以下范围:

端点
https://risc.googleapis.com/v1beta/stream/status https://www.googleapis.com/auth/risc.status.readonlyhttps://www.googleapis.com/auth/risc.status.readwrite
https://risc.googleapis.com/v1beta/stream/status:update https://www.googleapis.com/auth/risc.status.readwrite
https://risc.googleapis.com/v1beta/stream https://www.googleapis.com/auth/risc.configuration.readonlyhttps://www.googleapis.com/auth/risc.configuration.readwrite
https://risc.googleapis.com/v1beta/stream:update https://www.googleapis.com/auth/risc.configuration.readwrite
https://risc.googleapis.com/v1beta/stream:verify https://www.googleapis.com/auth/risc.verify

需要帮助?

首先,查看错误代码参考部分。如果您仍有疑问,请在 Stack Overflow 上发布带有 #SecEvents 标记的问题。