Anfragen von Google Chat prüfen

In diesem Abschnitt wird erläutert, wie Sie für Google Chat-Apps, die auf HTTP-Endpunkten basieren, prüfen können, ob die Anfragen an Ihren Endpunkt von Chat stammen.

Um Interaktionsereignisse an den Endpunkt Ihrer Chat-App zu senden, stellt Google Anfragen an Ihren Dienst. Damit Sie prüfen können, ob die Anfrage von Google stammt, fügt Chat in den Authorization Header jeder HTTPS-Anfrage an Ihren Endpunkt ein Bearer-Token ein. Beispiel:

POST
Host: yourappurl.com
Authorization: Bearer AbCdEf123456
Content-Type: application/json
User-Agent: Google-Dynamite

Die String AbCdEf123456 im vorherigen Beispiel ist das Bearer-Autorisierungstoken. Dies ist ein von Google erstelltes kryptografisches Token. Der Typ des Bearer Tokens und der Wert des audience Felds hängen vom Typ der Authentifizierungs Zielgruppe ab, die Sie beim Konfigurieren der Chat-App ausgewählt haben.

Wenn Sie Ihre Chat-App mit Cloud Run-Funktionen implementiert haben, übernimmt Cloud IAM die Tokenprüfung automatisch. Sie müssen das Google Chat-Dienstkonto als autorisierten Aufrufer hinzufügen. Wenn Ihre App einen eigenen HTTP-Server implementiert, können Sie Ihr Bearer-Token mit einer Open-Source-Google API-Clientbibliothek prüfen:

• Java: https://github.com/google/google-api-java-client
• Python: https://github.com/google/google-api-python-client
• Node.js: https://github.com/google/google-api-nodejs-client
• .NET: https://github.com/google/google-api-dotnet-client

Wenn das Token für die Chat-App nicht geprüft werden kann, sollte Ihr Dienst mit dem HTTPS-Antwortcode 401 (Unauthorized) auf die Anfrage antworten.

Anfragen mit Cloud Run-Funktionen authentifizieren

Wenn Ihre Funktionslogik mit Cloud Run-Funktionen implementiert ist, müssen Sie in der Einstellung für die Chat-App-Verbindung im Feld Authentifizierungszielgruppe die Option HTTP-Endpunkt-URL auswählen und darauf achten, dass die HTTP-Endpunkt-URL in der Konfiguration der URL des Cloud Run-Funktionsendpunkts entspricht.

Anschließend müssen Sie das Google Chat-Dienstkonto chat@system.gserviceaccount.com als Aufrufer autorisieren. Gehen Sie dazu so vor:

gcloud functions add-invoker-policy-binding RECEIVING_FUNCTION \
  --member='serviceAccount:chat@system.gserviceaccount.com'

HTTP-Anfragen mit einem ID-Token authentifizieren

Wenn das Feld Authentifizierungszielgruppe der Einstellung für die Chat-App-Verbindung auf HTTP-Endpunkt-URL festgelegt ist, ist das Bearer-Autorisierungstoken in der Anfrage ein von Google signiertes OpenID Connect-ID-Token (OIDC). Das Feld email ist auf chat@system.gserviceaccount.com festgelegt. Das Feld Authentifizierungszielgruppe ist auf die URL festgelegt, die Sie für Google Chat konfiguriert haben, um Anfragen an Ihre Chat-App zu senden. Wenn der konfigurierte Endpunkt Ihrer Chat-App beispielsweise https://example.com/app/ ist, ist das Feld Authentifizierungszielgruppe im ID-Token https://example.com/app/.

Dies ist die empfohlene Authentifizierungsmethode, wenn Ihr HTTP-Endpunkt nicht auf einem Dienst gehostet wird, der IAM-basierte Authentifizierung unterstützt (z. B. Cloud Run). Bei dieser Methode benötigt Ihr HTTP-Dienst Informationen zur URL des Endpunkts, auf dem er ausgeführt wird, aber keine Informationen zur Cloud-Projektnummer.

In den folgenden Beispielen wird gezeigt, wie Sie mit der Google OAuth-Clientbibliothek prüfen können, ob das Bearer-Token von Google Chat ausgestellt und auf Ihre App ausgerichtet wurde.

String CHAT_ISSUER = "chat@system.gserviceaccount.com";
JsonFactory factory = JacksonFactory.getDefaultInstance();

GoogleIdTokenVerifier verifier =
    new GoogleIdTokenVerifier.Builder(new ApacheHttpTransport(), factory)
        .setAudience(Collections.singletonList(AUDIENCE))
        .build();

GoogleIdToken idToken = GoogleIdToken.parse(factory, bearer);
return idToken != null
    && verifier.verify(idToken)
    && idToken.getPayload().getEmailVerified()
    && idToken.getPayload().getEmail().equals(CHAT_ISSUER);

# Bearer Tokens received by apps will always specify this issuer.
CHAT_ISSUER = 'chat@system.gserviceaccount.com'

try:
    # Verify valid token, signed by CHAT_ISSUER, intended for a third party.
    request = requests.Request()
    token = id_token.verify_oauth2_token(bearer, request, AUDIENCE)
    return token['email'] == CHAT_ISSUER

except:
    return False

// Bearer Tokens received by apps will always specify this issuer.
const chatIssuer = 'chat@system.gserviceaccount.com';

// Verify valid token, signed by chatIssuer, intended for a third party.
try {
  const ticket = await client.verifyIdToken({
    idToken: bearer,
    audience: audience
  });
  return ticket.getPayload().email_verified
      && ticket.getPayload().email === chatIssuer;
} catch (unused) {
  return false;
}

Anfragen mit einem JWT für die Projektnummer authentifizieren

Wenn das Feld **Authentifizierungszielgruppe** der Einstellung für die Chat-App-Verbindung auf Project Number festgelegt ist, ist das Bearer-Autorisierungstoken in der Anfrage ein selbstsigniertes JSON Web Token (JWT), das von chat@system.gserviceaccount.com ausgestellt und signiert wurde. Das Feld audience ist auf die Google Cloud-Projektnummer festgelegt, die Sie zum Erstellen Ihrer Chat-App verwendet haben. Wenn die Cloud-Projektnummer Ihrer Chat-App beispielsweise 1234567890 ist, ist das Feld audience im JWT 1234567890.

Diese Authentifizierungsmethode wird nur empfohlen, wenn Sie Anfragen lieber mit der Cloud-Projektnummer als mit der HTTP-Endpunkt-URL prüfen möchten. Das ist beispielsweise der Fall, wenn Sie die Endpunkt-URL im Laufe der Zeit ändern möchten, aber dieselbe Cloud-Projektnummer beibehalten möchten, oder wenn Sie denselben Endpunkt für mehrere Cloud-Projektnummern verwenden und das Feld audience mit einer Liste von Cloud-Projektnummern vergleichen möchten.

In den folgenden Beispielen wird gezeigt, wie Sie mit der Google OAuth-Clientbibliothek prüfen können, ob das Bearer-Token von Google Chat ausgestellt und auf Ihr Projekt ausgerichtet wurde.

String CHAT_ISSUER = "chat@system.gserviceaccount.com";
JsonFactory factory = JacksonFactory.getDefaultInstance();

GooglePublicKeysManager keyManagerBuilder =
    new GooglePublicKeysManager.Builder(new ApacheHttpTransport(), factory)
        .setPublicCertsEncodedUrl(
            "https://www.googleapis.com/service_accounts/v1/metadata/x509/" + CHAT_ISSUER)
        .build();

GoogleIdTokenVerifier verifier =
    new GoogleIdTokenVerifier.Builder(keyManagerBuilder).setIssuer(CHAT_ISSUER).build();

GoogleIdToken idToken = GoogleIdToken.parse(factory, bearer);
return idToken != null
    && verifier.verify(idToken)
    && idToken.verifyAudience(Collections.singletonList(AUDIENCE))
    && idToken.verifyIssuer(CHAT_ISSUER);

# Bearer Tokens received by apps will always specify this issuer.
CHAT_ISSUER = 'chat@system.gserviceaccount.com'

try:
    # Verify valid token, signed by CHAT_ISSUER, intended for a third party.
    request = requests.Request()
    certs_url = 'https://www.googleapis.com/service_accounts/v1/metadata/x509/' + CHAT_ISSUER
    token = id_token.verify_token(bearer, request, AUDIENCE, certs_url)
    return token['iss'] == CHAT_ISSUER

except:
    return False

// Bearer Tokens received by apps will always specify this issuer.
const chatIssuer = 'chat@system.gserviceaccount.com';

// Verify valid token, signed by CHAT_ISSUER, intended for a third party.
try {
  const response = await fetch('https://www.googleapis.com/service_accounts/v1/metadata/x509/' + chatIssuer);
  const certs = await response.json();
  await client.verifySignedJwtWithCertsAsync(
    bearer, certs, audience, [chatIssuer]);
  return true;
} catch (unused) {
  return false;
}

Weitere Informationen

• Eine Übersicht über die Authentifizierung und Autorisierung in Google Workspace finden Sie unter Authentifizierung und Autorisierung.
• Eine Übersicht über die Authentifizierung und Autorisierung in Chat finden Sie unter siehe Authentifizierung.
• Authentifizierung und Autorisierung mit Nutzeranmeldedaten oder einem Dienstkontoeinrichten.