Hesaplar Arası Koruma ile kullanıcı hesaplarını koruma

Uygulamanız, kullanıcıların Google kullanarak hesaplarında oturum açmalarına izin veriyorsa daha iyi paylaşılan bu kullanıcıların güvenliğini dinleyip bunlara yanıt vererek Hesaplar Arası Koruma hizmeti tarafından sağlanan güvenlik işlemi bildirimleri.

Bu bildirimler, hesabınızın Google Hesaplarında Bu durum, çoğu zaman e-posta adresleri ve en iyi şekilde yararlanabilirsiniz. Örneğin bir kullanıcının Google Hesabı ele geçirilmişse e-posta yoluyla uygulamanızla kullanıcının hesabının güvenliğinin ihlal edilmesine neden olabilir veya Tek Oturum Açma özelliğinin kullanımını ele alacağız.

Google bu tür etkinliklerin risk potansiyelini azaltmanıza yardımcı olmak için size hizmet nesnelerini kullanır. Bu jetonlar çok az yalnızca güvenlik etkinliğinin türü, gerçekleştiği zaman ve ancak bu bilgiyi kullanarak, hangi durumlarda uygun eylemde bulunması gerekir. Örneğin, bir kullanıcının Google Hesabı o kullanıcı için Google ile Oturum Açma özelliğini geçici olarak devre dışı bırakıp Hesap kurtarma e-postalarının kullanıcının Gmail adresine gönderilmesini engelleyebilir.

Hesaplar Arası Koruma, RISC standardı Kimlik Doğrulama Vakfı hakkında daha fazla bilgi edinin.

Genel Bakış

Uygulamanızda veya hizmetinizde Hesaplar Arası Koruma'yı kullanmak için şu adımı tamamlamanız gerekir: şu görevlerden yararlanabilirsiniz:

  1. içinde projenizi oluşturun.

  2. Google'ın güvenlik etkinliğini göndereceği bir etkinlik alıcı uç noktası oluşturun jeton. Bu uç nokta, aldığı jetonları doğrulamaktan sorumludur yanıt verebilir, ardından güvenlik işlemlerine dilediğiniz şekilde yanıt verebilirsiniz.

  3. Güvenlik etkinliği jetonları almaya başlamak için uç noktanızı Google'a kaydedin.

Ön koşul

Yalnızca profil bilgilerine veya e-posta adreslerine erişmesi için hizmet izni Siz profile veya email kapsamlarını isteyerek bu izni alabilirsiniz. Daha yeni Google ile Oturum Açma veya eski sürüm Google ile Oturum Açma SDK'ları bu kapsamları varsayılan olarak ister ancak varsayılan ayarları kullanmıyorsanız veya Google'ın Kimlik Doğrulama Bilgileri Uç noktayı doğrudan bağlayın, bu kapsamlardan en az birini istiyorsunuz.

uygulamasında bir proje oluşturun

Güvenlik etkinliği jetonları almaya başlamadan önce bir hizmet oluşturmanız gerekir ve hesabınızda RISC API'yi etkinleştirin. projesi. Aynı erişmek için kullandığınız bir proje Google ile Oturum Açma gibi Google hizmetleri uygulamanızda.

Hizmet hesabını oluşturmak için:

  1. . İstendiğinde . projenizde kullanabilirsiniz.

  2. Kimlik bilgileri oluştur > Hizmet hesabı.

  3. RISC Yapılandırma Yöneticisi rolüyle yeni bir hizmet hesabı oluşturma (roles/riscconfigs.admin) adlı kişiyi takip ederek bu talimatları inceleyin.

  4. Yeni oluşturulan hizmet hesabınız için bir anahtar oluşturun. JSON anahtarını seçin yazın ve Oluştur'u tıklayın. Anahtar oluşturulduğunda hizmet hesabınızı içeren bir JSON dosyası indireceksiniz kimlik bilgileri. Bu dosyayı, çocuğunuzun da erişebileceği güvenli bir yerde saklayın etkinlik alıcısı uç noktası.

ziyaret edin.

Projenizin Kimlik Bilgileri sayfasındayken, aynı zamanda proje yöneticisinin Google ile Oturum Açma veya Google ile Oturum Açma için kullandığınız kimlikler (eski). Genelde her biri için bir istemci kimliğiniz vardır. destekleyici materyalleri inceleyeceksiniz. Güvenlik etkinliğini doğrulamak için bu istemci kimliklerine ihtiyacınız olacaktır simgelerinden birini seçin.

RISC API'yi etkinleştirmek için:

  1. RISC API sayfasını . Kullandığınız projenin hâlâ seçili durumda.

  2. RISC Şartları'nı okuyun ve şartları anladığınızdan emin olun.

    API'yi bir kuruluşa ait bir proje için etkinleştiriyorsanız kuruluşunuzu RISC Şartları'na tabi kılma yetkisine sahip olmanız gerekir.

  3. Yalnızca RISC Şartları'nı kabul ediyorsanız Etkinleştir'i tıklayın.

Etkinlik alıcı uç noktası oluşturma

Google'dan güvenlik etkinliği bildirimlerini almak için bir HTTPS uç noktası oluşturursunuz HTTPS POST isteklerini işler. Bu uç noktayı kaydettikten sonra (aşağıya bakın) Google, güvenlik etkinliği adı verilen ve kriptografik olarak imzalanmış dizeler yayınlamaya başlayacak uç noktaya gönderir. Güvenlik etkinliği jetonları, aşağıdakileri içeren imzalı JWT'lerdir: tek bir güvenlikle ilgili olay hakkında bilgi verir.

Uç noktanızda aldığınız her güvenlik etkinliği jetonu için öncelikle uç noktanızda kodu çözün, ardından güvenlik etkinliğini sizin geliştirmenizi sağlar. Trafiğin kırılmasını önlemek için kod çözmeden önce etkinlik jetonunun doğrulanması önemlidir. kötü niyetli kişilerin saldırılarıdır. Aşağıdaki bölümlerde bu görevler açıklanmaktadır:

1. Güvenlik etkinliği jetonunun kodunu çözün ve doğrulayın

Güvenlik etkinliği jetonları belirli bir JWT türü olduğundan, istediğiniz herhangi bir Kodu çözmek ve jwt.io'da listelenen gibi bir JWT kitaplığı doğrulamam gerekecek. Hangi kitaplığı kullanırsanız kullanın, jeton doğrulama kodunuz aşağıdaki işlemleri yapmalıdır: takip etmek için:

  1. Hesaplar Arası Koruma veren kuruluş tanımlayıcısını (issuer) ve imzalama anahtarını alın Google'ın RISC yapılandırma belgesindeki sertifika URI'si (jwks_uri), Bu bilgileri https://accounts.google.com/.well-known/risc-configuration.
  2. Seçtiğiniz JWT kitaplığını kullanarak başlıktan imzalama anahtarı kimliğini alın onay kutusunu işaretleyin.
  3. Google'ın imzalama anahtarı sertifikası dokümanından anahtar kimliğinizi girin. Doküman bir anahtar içermiyorsa güvenlik etkinliği jetonu, aradığınız kimlikle aynıysa güncelleyip uç noktanız HTTP 400 hatası döndürecektir.
  4. Tercih ettiğiniz JWT kitaplığını kullanarak aşağıdakileri doğrulayın:
    • Güvenlik etkinliği jetonu, önceki adım.
    • Jetonun aud talebi, uygulamalarınızdan biridir izin vermiştir.
    • Jetonun iss talebi, aldığınız kartı veren kuruluş tanımlayıcısıyla eşleşiyor RISC keşif belgesini inceleyin. Jetonun geçerlilik süresini (exp) doğrulamanız gerekmez. güvenlik etkinliği jetonları geçmiş etkinlikleri temsil eder ve bu nedenle geçerlilik süresi dolmaz.

Örneğin:

Java

java-jwt'yi kullanma ve jwks-rsa-java:

public DecodedJWT validateSecurityEventToken(String token) {
    DecodedJWT jwt = null;
    try {
        // In a real implementation, get these values from
        // https://accounts.google.com/.well-known/risc-configuration
        String issuer = "accounts.google.com";
        String jwksUri = "https://www.googleapis.com/oauth2/v3/certs";

        // Get the ID of the key used to sign the token.
        DecodedJWT unverifiedJwt = JWT.decode(token);
        String keyId = unverifiedJwt.getKeyId();

        // Get the public key from Google.
        JwkProvider googleCerts = new UrlJwkProvider(new URL(jwksUri), null, null);
        PublicKey publicKey = googleCerts.get(keyId).getPublicKey();

        // Verify and decode the token.
        Algorithm rsa = Algorithm.RSA256((RSAPublicKey) publicKey, null);
        JWTVerifier verifier = JWT.require(rsa)
                .withIssuer(issuer)
                // Get your apps' client IDs from the API console:
                // ?project=_
                .withAudience("123456789-abcedfgh.apps.googleusercontent.com",
                              "123456789-ijklmnop.apps.googleusercontent.com",
                              "123456789-qrstuvwx.apps.googleusercontent.com")
                .acceptLeeway(Long.MAX_VALUE)  // Don't check for expiration.
                .build();
        jwt = verifier.verify(token);
    } catch (JwkException e) {
        // Key not found. Return HTTP 400.
    } catch (InvalidClaimException e) {

    } catch (JWTDecodeException exception) {
        // Malformed token. Return HTTP 400.
    } catch (MalformedURLException e) {
        // Invalid JWKS URI.
    }
    return jwt;
}

Python

import json
import jwt       # pip install pyjwt
import requests  # pip install requests

def validate_security_token(token, client_ids):
    # Get Google's RISC configuration.
    risc_config_uri = 'https://accounts.google.com/.well-known/risc-configuration'
    risc_config = requests.get(risc_config_uri).json()

    # Get the public key used to sign the token.
    google_certs = requests.get(risc_config['jwks_uri']).json()
    jwt_header = jwt.get_unverified_header(token)
    key_id = jwt_header['kid']
    public_key = None
    for key in google_certs['keys']:
        if key['kid'] == key_id:
            public_key = jwt.algorithms.RSAAlgorithm.from_jwk(json.dumps(key))
    if not public_key:
        raise Exception('Public key certificate not found.')
        # In this situation, return HTTP 400

    # Decode the token, validating its signature, audience, and issuer.
    try:
        token_data = jwt.decode(token, public_key, algorithms='RS256',
                                options={'verify_exp': False},
                                audience=client_ids, issuer=risc_config['issuer'])
    except:
        raise
        # Validation failed. Return HTTP 400.
    return token_data

# Get your apps' client IDs from the API console:
# ?project=_
client_ids = ['123456789-abcedfgh.apps.googleusercontent.com',
              '123456789-ijklmnop.apps.googleusercontent.com',
              '123456789-qrstuvwx.apps.googleusercontent.com']
token_data = validate_security_token(token, client_ids)

Jeton geçerliyse ve kodu başarıyla çözüldüyse HTTP durumu 202'yi döndürün. Ardından, jeton ile belirtilen güvenlik etkinliğini işleyin.

2. Güvenlik işlemlerini yönetme

Güvenlik etkinliği jetonu kodu çözüldüğünde aşağıdaki örnekteki gibi görünür:

{
  "iss": "https://accounts.google.com/",
  "aud": "123456789-abcedfgh.apps.googleusercontent.com",
  "iat": 1508184845,
  "jti": "756E69717565206964656E746966696572",
  "events": {
    "https://schemas.openid.net/secevent/risc/event-type/account-disabled": {
      "subject": {
        "subject_type": "iss-sub",
        "iss": "https://accounts.google.com/",
        "sub": "7375626A656374"
      },
      "reason": "hijacking"
    }
  }
}

iss ve aud talepleri, jetonu veren kuruluşu (Google) ve jetonun hedeflenen alıcısı (hizmetiniz). Bu hak taleplerini önceki adım.

jti talebi, tek bir güvenlik etkinliğini tanımlayan bir dizedir ve bu akışa özgüdür. Hangi güvenlik işlemlerinin gerçekleştirildiğini izlemek için bu tanımlayıcıyı kullanabilirsiniz önemli bir rol oynar.

events talebi, jetonun güvenlik işlemi hakkında bilgi içeriyor temsil eder. Bu hak talebi, bir etkinlik türü tanımlayıcısından subject öğesine eşlemedir hak talebi veya ek herhangi bir ek etkinliğin ayrıntılarını görebilirsiniz.

subject hak talebi, belirli bir kullanıcıyı, kullanıcının benzersiz Google Hesap kimliği (sub). Bu Google Hesabı kimliği, içerdiği tanımlayıcıyla (sub) aynı Google ile Oturum Açma (JavaScript) tarafından yayınlanan JWT kimlik jetonlarında , HTML) kitaplığını, eski Google ile Oturum Açma kitaplığını veya COPPA Connect öğesinin subject_type hak talebi id_token_claims iseemail kullanıcının e-posta adresi.

Hak talebiyle ilgili uygun işlemi yapmak için events hak talebindeki bilgileri kullanın. belirtilen kullanıcının hesabındaki etkinlik türü.

OAuth jetonu tanımlayıcıları

Bağımsız jetonlarla ilgili OAuth etkinlikleri için jeton konusu tanımlayıcı türü aşağıdaki alanları içerir:

  • token_type: Yalnızca refresh_token desteklenir.

  • token_identifier_alg: Olası değerler için aşağıdaki tabloya bakın.

  • token: Aşağıdaki tabloya bakın.

token_identifier_alg jeton
prefix Jetonun ilk 16 karakteri.
hash_base64_sha512_sha512 SHA-512 kullanan jetonun çift karma değeri.

Bu etkinliklerle entegrasyon yaparsanız jetonlarınızı bu olası değerlere göre etkinlik alındığında hızlı bir eşleşme olması için kullanılır.

Desteklenen etkinlik türleri

Hesaplar Arası Koruma, aşağıdaki güvenlik etkinliği türlerini destekler:

Etkinlik Türü Özellikler Yanıt verme
https://schemas.openid.net/secevent/risc/event-type/sessions-revoked Zorunlu: Kullanıcının şu andaki hesabını sonlandırarak hesabının güvenliğini yeniden sağlayın açık oturumlar.
https://schemas.openid.net/secevent/oauth/event-type/tokens-revoked

Zorunlu: Jeton Google ile Oturum Açma içinse şu anda açık olan oturum sayısı. Ayrıca, kullanıcıya benzer bir projede alternatif bir oturum açma yöntemi ayarlamanız gerekir.

Önerilen: Jeton diğer Google API'lerine erişmek için kullanılıyorsa kullanıcının depoladığınız OAuth jetonlarından herhangi biri.

https://schemas.openid.net/secevent/oauth/event-type/token-revoked Aşağıdakiler için OAuth jetonu tanımlayıcıları bölümüne bakın: jeton tanımlayıcılar

Zorunlu: İlgili yenileme jetonunu depoluyorsanız silin ve erişim jetonuna tekrar ihtiyaç duyulduğunda kullanıcıdan yeniden izin vermesini isteyin.

https://schemas.openid.net/secevent/risc/event-type/account-disabled reason=hijacking,
reason=bulk-account

Zorunlu: Hesabın devre dışı bırakılma nedeni hijacking, şu anda açık olan oturum sayısı.

Önerilen: Hesabın devre dışı bırakılma nedeni bulk-account, kullanıcının hizmetinizdeki etkinliğini analiz edin ve uygun takip eylemlerini belirlemeye yardımcı olur.

Önerilen: Herhangi bir neden sağlanmadıysa şu uygulama için Google ile Oturum Açma'yı devre dışı bırakın: ile ilişkilendirilmiş e-posta adresini kullanarak hesap kurtarma işlemini devre dışı bırakabilir. Kullanıcının Google Hesabı (her zaman olmasa da genellikle bir Gmail hesabı). Kullanıcıya alternatif bir oturum açma yöntemi sunma

https://schemas.openid.net/secevent/risc/event-type/account-enabled Önerilen: Kullanıcı için Google ile Oturum Açma'yı ve tekrar etkinleştirin kullanıcının Google Hesabı e-posta adresiyle hesap kurtarma.
https://schemas.openid.net/secevent/risc/event-type/account-credential-change-required Önerilen: Hizmetinizdeki şüpheli etkinliklere dikkat edin ve eyleme dökülebilir.
https://schemas.openid.net/secevent/risc/event-type/verification state=state Önerilen: Test jetonunun alındığını günlüğe kaydedin.

Yinelenen ve kaçırılan etkinlikler

Hesaplar Arası Koruma, gerçekleşeceği düşünülen etkinlikleri yeniden yayınlamaya çalışır. teslim edilmedi. Dolayısıyla, bazen aynı etkinliği birden fazla kez. Bu durum, kullanıcılarınız için rahatsız edici tekrarlayan eylemlere neden için benzersiz bir tanımlayıcı olan jti hak talebini etkinlik) kaldırın. Google Cloud gibi harici araçlar Cloud'da 7/24'ten daha fazla YG veri akışını izler.

Etkinliklerin sınırlı yeniden denemeyle teslim edileceğini ve bu nedenle alıcınızın çalışmadığı durumlarda uzun bir süre boyunca bazı etkinlikleri kalıcı olarak kaçırabilirsiniz.

Alıcınızı kaydettirme

Güvenlik etkinliklerini almaya başlamak için şunu kullanarak alıcı uç noktanızı kaydedin: RISC API'sidir. RISC API'ye yapılan çağrılara bir yetkilendirme jetonu eşlik etmelidir.

Yalnızca uygulamanızın kullanıcılarına yönelik güvenlik işlemleri alırsınız. Bu nedenle, bir OAuth izin ekranını yapılandırılmış olması gerekir. aşağıda açıklanan adımların ön koşulu olarak GCP projenize ekleyebilirsiniz.

1. Yetkilendirme jetonu oluşturma

RISC API için yetkilendirme jetonu oluşturmak üzere şu iddiaları inceleyin:

{
  "iss": SERVICE_ACCOUNT_EMAIL,
  "sub": SERVICE_ACCOUNT_EMAIL,
  "aud": "https://risc.googleapis.com/google.identity.risc.v1beta.RiscManagementService",
  "iat": CURRENT_TIME,
  "exp": CURRENT_TIME + 3600
}

JWT'yi, hizmet hesabınızın özel anahtarını kullanarak imzalayın. Bu anahtarı Hizmet hesabı anahtarını oluştururken indirdiğiniz JSON dosyası.

Örneğin:

Java

java-jwt ve Google'ın kimlik doğrulama kitaplığı:

public static String makeBearerToken() {
    String token = null;
    try {
        // Get signing key and client email address.
        FileInputStream is = new FileInputStream("your-service-account-credentials.json");
        ServiceAccountCredentials credentials =
               (ServiceAccountCredentials) GoogleCredentials.fromStream(is);
        PrivateKey privateKey = credentials.getPrivateKey();
        String keyId = credentials.getPrivateKeyId();
        String clientEmail = credentials.getClientEmail();

        // Token must expire in exactly one hour.
        Date issuedAt = new Date();
        Date expiresAt = new Date(issuedAt.getTime() + 3600000);

        // Create signed token.
        Algorithm rsaKey = Algorithm.RSA256(null, (RSAPrivateKey) privateKey);
        token = JWT.create()
                .withIssuer(clientEmail)
                .withSubject(clientEmail)
                .withAudience("https://risc.googleapis.com/google.identity.risc.v1beta.RiscManagementService")
                .withIssuedAt(issuedAt)
                .withExpiresAt(expiresAt)
                .withKeyId(keyId)
                .sign(rsaKey);
    } catch (ClassCastException e) {
        // Credentials file doesn't contain a service account key.
    } catch (IOException e) {
        // Credentials file couldn't be loaded.
    }
    return token;
}

Python

import json
import time

import jwt  # pip install pyjwt

def make_bearer_token(credentials_file):
    with open(credentials_file) as service_json:
        service_account = json.load(service_json)
        issuer = service_account['client_email']
        subject = service_account['client_email']
        private_key_id = service_account['private_key_id']
        private_key = service_account['private_key']
    issued_at = int(time.time())
    expires_at = issued_at + 3600
    payload = {'iss': issuer,
               'sub': subject,
               'aud': 'https://risc.googleapis.com/google.identity.risc.v1beta.RiscManagementService',
               'iat': issued_at,
               'exp': expires_at}
    encoded = jwt.encode(payload, private_key, algorithm='RS256',
                         headers={'kid': private_key_id})
    return encoded

auth_token = make_bearer_token('your-service-account-credentials.json')

Bu yetkilendirme jetonu, bir saat boyunca RISC API çağrıları yapmak için kullanılabilir. Zaman jetonun süresi dolarsa RISC API çağrıları yapmaya devam etmek için yeni bir jeton oluşturun.

2. RISC akış yapılandırma API'sini çağırma

Artık bir yetkilendirme jetonunuz olduğuna göre RISC API'sini kullanarak alıcınızı kaydettirmek dahil olmak üzere projenizin güvenlik etkinlik akışı uç nokta.

Bunu yapmak için https://risc.googleapis.com/v1beta/stream:update adresine bir HTTPS POST isteği gönderin. Alıcı uç noktanızı ve güvenlik türlerini belirtmek ilgilendiğiniz etkinlikler:

POST /v1beta/stream:update HTTP/1.1
Host: risc.googleapis.com
Authorization: Bearer AUTH_TOKEN

{
  "delivery": {
    "delivery_method":
      "https://schemas.openid.net/secevent/risc/delivery-method/push",
    "url": RECEIVER_ENDPOINT
  },
  "events_requested": [
    SECURITY_EVENT_TYPES
  ]
}

Örneğin:

Java

public static void configureEventStream(final String receiverEndpoint,
                                        final List<String> eventsRequested,
                                        String authToken) throws IOException {
    ObjectMapper jsonMapper = new ObjectMapper();
    String streamConfig = jsonMapper.writeValueAsString(new Object() {
        public Object delivery = new Object() {
            public String delivery_method =
                    "https://schemas.openid.net/secevent/risc/delivery-method/push";
            public String url = receiverEndpoint;
        };
        public List<String> events_requested = eventsRequested;
    });

    HttpPost updateRequest = new HttpPost("https://risc.googleapis.com/v1beta/stream:update");
    updateRequest.addHeader("Content-Type", "application/json");
    updateRequest.addHeader("Authorization", "Bearer " + authToken);
    updateRequest.setEntity(new StringEntity(streamConfig));

    HttpResponse updateResponse = new DefaultHttpClient().execute(updateRequest);
    Header[] responseContentTypeHeaders = updateResponse.getHeaders("Content-Type");
    StatusLine responseStatus = updateResponse.getStatusLine();
    int statusCode = responseStatus.getStatusCode();
    HttpEntity entity = updateResponse.getEntity();
    // Now handle response
}

// ...

configureEventStream(
        "https://your-service.example.com/security-event-receiver",
        Arrays.asList(
                "https://schemas.openid.net/secevent/risc/event-type/account-credential-change-required",
                "https://schemas.openid.net/secevent/risc/event-type/account-disabled"),
        authToken);

Python

import requests

def configure_event_stream(auth_token, receiver_endpoint, events_requested):
    stream_update_endpoint = 'https://risc.googleapis.com/v1beta/stream:update'
    headers = {'Authorization': 'Bearer {}'.format(auth_token)}
    stream_cfg = {'delivery': {'delivery_method': 'https://schemas.openid.net/secevent/risc/delivery-method/push',
                               'url': receiver_endpoint},
                  'events_requested': events_requested}
    response = requests.post(stream_update_endpoint, json=stream_cfg, headers=headers)
    response.raise_for_status()  # Raise exception for unsuccessful requests

configure_event_stream(auth_token, 'https://your-service.example.com/security-event-receiver',
                       ['https://schemas.openid.net/secevent/risc/event-type/account-credential-change-required',
                        'https://schemas.openid.net/secevent/risc/event-type/account-disabled'])

İstek HTTP 200 döndürürse etkinlik akışı başarıyla yapılandırılmıştır Alıcı uç noktanız da güvenlik etkinliği jetonları almaya başlar. İlgili içeriği oluşturmak için kullanılan Sonraki bölümde, akış yapılandırmanızı ve uç noktanızı nasıl test edebileceğiniz açıklanmaktadır kontrol edin.

Mevcut akış yapılandırmanızı alma ve güncelleme

İleride akış yapılandırmanızı değiştirmek isterseniz şunları yapabilirsiniz: Bu nedenle,https://risc.googleapis.com/v1beta/stream yanıt gövdesini değiştirme ve yanıtı POST yöntemindeki değiştirilen yapılandırma, yukarıda açıklandığı şekilde https://risc.googleapis.com/v1beta/stream:update geri döndürülür.

Etkinlik akışını durdurma ve devam ettirme

Google'dan etkinlik akışını durdurmanız gerekirse yetkili bir POST oluşturun { "status": "disabled" } ile https://risc.googleapis.com/v1beta/stream/status:update için istek yazması gerekir. Akış devre dışı bırakıldığında Google etkinlik göndermez eklenir ve gerçekleştiğinde güvenlik etkinliklerini arabelleğe almaz. Alıcı: aynı uç noktaya POST { "status": "enabled" } yazıp etkinlik akışını yeniden etkinleştirin.

3. İsteğe bağlı: Akış yapılandırmanızı test etme

Akış yapılandırmanızın ve alıcı uç noktanızın çalıştığını doğrulayabilirsiniz doğru şekilde kontrol etmenizi sağlar. Bu jeton, uç noktanızda alındı. Bu akışı kullanmak için https://schemas.openid.net/secevent/risc/event-type/verification adresine abone olun Etkinlik türü olarak alıcınızı kaydederken belirtin.

Doğrulama jetonu istemek için aşağıdaki adrese yetkili bir HTTPS POST isteği gönderin: https://risc.googleapis.com/v1beta/stream:verify İsteğin gövdesinde tanımlayıcı dize:

{
  "state": "ANYTHING"
}

Örneğin:

Java

public static void testEventStream(final String stateString,
                                   String authToken) throws IOException {
    ObjectMapper jsonMapper = new ObjectMapper();
    String json = jsonMapper.writeValueAsString(new Object() {
        public String state = stateString;
    });

    HttpPost updateRequest = new HttpPost("https://risc.googleapis.com/v1beta/stream:verify");
    updateRequest.addHeader("Content-Type", "application/json");
    updateRequest.addHeader("Authorization", "Bearer " + authToken);
    updateRequest.setEntity(new StringEntity(json));

    HttpResponse updateResponse = new DefaultHttpClient().execute(updateRequest);
    Header[] responseContentTypeHeaders = updateResponse.getHeaders("Content-Type");
    StatusLine responseStatus = updateResponse.getStatusLine();
    int statusCode = responseStatus.getStatusCode();
    HttpEntity entity = updateResponse.getEntity();
    // Now handle response
}

// ...

testEventStream("Test token requested at " + new Date().toString(), authToken);

Python

import requests
import time

def test_event_stream(auth_token, nonce):
    stream_verify_endpoint = 'https://risc.googleapis.com/v1beta/stream:verify'
    headers = {'Authorization': 'Bearer {}'.format(auth_token)}
    state = {'state': nonce}
    response = requests.post(stream_verify_endpoint, json=state, headers=headers)
    response.raise_for_status()  # Raise exception for unsuccessful requests

test_event_stream(auth_token, 'Test token requested at {}'.format(time.ctime()))

İstek başarılı olursa doğrulama jetonu, belirttiğiniz uç noktaya gönderilir kayıtlı. Örneğin, uç noktanız doğrulama jetonlarını günlüklerinizi inceleyerek jetonun alındı.

Hata kodu referansı

Aşağıdaki hatalar RISC API tarafından döndürülebilir:

Hata Kodu Hata Mesajı Önerilen İşlemler
400 Akış yapılandırması, $fieldname alanını içermelidir. https://risc.googleapis.com/v1beta/stream:update uç noktası isteğiniz geçersiz veya ayrıştırılır. Lütfen isteğinize $fieldname ifadesini ekleyin.
401 Yetkilendirilmedi. Yetkilendirme başarısız oldu. Yetkilendirme jetonunu ekleyin ve jetonun geçerli olduğunu doğrulayın ve geçerlilik süresi dolmamış olmalıdır.
Teslim uç noktası bir HTTPS URL'si olmalıdır. Yayın uç noktanız (RISC etkinliklerinin olmasını beklediğiniz uç nokta) teslim edilen) HTTPS olmalıdır. RISC etkinliklerini HTTP URL'lerine göndermeyiz.
Mevcut akış yapılandırmasının spesifikasyonla uyumlu yayını yok yöntemidir. Google Cloud projenizde zaten bir RISC yapılandırması olmalıdır. Eğer Firebase kullanıyorsanız ve Google ile Oturum Açma özelliğini etkinleştirdiyseniz Firebase, projeniz için RISC’yi yönetme özel bir hesap oluşturamayacaksınız yapılandırma. Firebase projenizde Google ile Oturum Açma özelliğini kullanmıyorsanız lütfen devre dışı bırakın ve bir saat sonra tekrar güncellemeyi deneyin.
Proje bulunamadı. Doğru hizmet hesabını kullandığınızdan emin olun: belirler. Silinmiş bir hesapla ilişkilendirilmiş hizmet hesabı kullanıyor olabilirsiniz belirler. Öğren bir projeyle ilişkili tüm hizmet hesaplarını nasıl göreceğinizi öğrenin.
Hizmet hesabının RISC'nize erişmesi için izin gerekiyor yapılandırma Projenizin ve "RISC Yapılandırma Yöneticisi"ni atayın. rol (roles/riscconfigs.admin) çağrı yapan hizmet hesabına çağrı yapan takip ediliyor bu talimatları uygulayın.
Akış yönetimi API'leri yalnızca bir hizmet hesabı tarafından çağrılmalıdır. Bu bölümde Google API'lerini bir hizmet hesabıyla nasıl çağırabileceğinizi öğrenin.
Teslim uç noktası, projenizin alanlarından hiçbirine ait değil. Her projenin birtakım yetkilendirilmiş alanları. Yayın uç noktanız (RISC etkinliklerinin yapmasını beklediğiniz uç nokta) barındırılmadığından emin olmak için, Google Etiket Yöneticisi'ne uç noktanın alanını bu kümeye ekler.
Bu API'yi kullanmak için projenizde en az bir OAuth istemcisi yapılandırılmış olmalıdır. RISC yalnızca Google ile Oturum Açma. Bu bağlantı için OAuth istemcisi gerekiyor. Projenizde OAuth yoksa kullanıyorsanız, RISC büyük olasılıkla sizin için yararlı olmayacaktır. Daha fazla bilgi edinin Google'ın OAuth kullanımı hakkında bakın.

Desteklenmeyen durum.

Geçersiz durum.

Yalnızca "enabled" ve Şu an için "disabled".

Projede RISC yapılandırması yok.

Projenin mevcut RISC yapılandırması olmadığından durum güncellenemiyor.

Yeni bir akış yapılandırması oluşturmak için https://risc.googleapis.com/v1beta/stream:update uç noktasını çağırın.
4XX/5XX Durum güncellenemedi. Daha fazla bilgi için ayrıntılı hata mesajını inceleyin.

Jeton kapsamlarına erişim

RISC API'sinde kimlik doğrulamak için erişim jetonları kullanmaya karar verirseniz uygulamanızın istemesi gereken kapsamlardır:

Uç nokta Kapsam
https://risc.googleapis.com/v1beta/stream/status https://www.googleapis.com/auth/risc.status.readonly. VEYA https://www.googleapis.com/auth/risc.status.readwrite
https://risc.googleapis.com/v1beta/stream/status:update https://www.googleapis.com/auth/risc.status.readwrite
https://risc.googleapis.com/v1beta/stream https://www.googleapis.com/auth/risc.configuration.readonly. VEYA https://www.googleapis.com/auth/risc.configuration.readwrite
https://risc.googleapis.com/v1beta/stream:update https://www.googleapis.com/auth/risc.configuration.readwrite
https://risc.googleapis.com/v1beta/stream:verify https://www.googleapis.com/auth/risc.verify

Yardım mı Gerekiyor?

Öncelikle, hata kodu referansı bölümümüze göz atın. Hâlâ varsa, sorularınızı Stack Overflow'da #SecEvents kapanış etiketinin hemen öncesine yapıştırın.