Если ваше приложение позволяет пользователям входить в свои учетные записи с помощью Google, вы можете повысить безопасность общих учетных записей пользователей, прослушивая и отвечая на уведомления о событиях безопасности, предоставляемые службой защиты нескольких учетных записей.
Эти уведомления предупреждают вас о серьезных изменениях в учетных записях Google ваших пользователей, которые часто также могут иметь последствия для безопасности их учетных записей в вашем приложении. Например, если учетная запись Google пользователя была взломана, это потенциально может привести к компрометации учетной записи пользователя в вашем приложении путем восстановления учетной записи электронной почты или использования единого входа.
Чтобы помочь вам снизить потенциальный риск таких событий, Google отправляет вам служебные объекты, называемые маркерами событий безопасности. Эти маркеры предоставляют очень мало информации — только тип события безопасности и время его возникновения, а также идентификатор пострадавшего пользователя, — но вы можете использовать их для принятия соответствующих ответных мер. Например, если учетная запись Google пользователя была скомпрометирована, вы можете временно отключить вход с помощью Google для этого пользователя и запретить отправку электронных писем для восстановления учетной записи на адрес Gmail пользователя.
Защита между учетными записями основана на стандарте RISC , разработанном в OpenID Foundation.
Обзор
Чтобы использовать защиту между учетными записями с вашим приложением или службой, необходимо выполнить следующие задачи:
Настройте свой проект в файле API Console.
Создайте конечную точку приемника событий, на которую Google будет отправлять токены событий безопасности. Эта конечная точка отвечает за проверку получаемых ею токенов, а затем за реагирование на события безопасности любым выбранным вами способом.
Зарегистрируйте свою конечную точку в Google, чтобы начать получать токены событий безопасности.
Предпосылка
Вы получаете токены событий безопасности только для пользователей Google, которые предоставили вашей службе разрешение на доступ к информации своего профиля или адресам электронной почты. Вы получаете это разрешение, запрашивая profile или области email . Более новый Sign In With Google или устаревшие SDK Google Sign-in запрашивают эти области по умолчанию, но если вы не используете настройки по умолчанию или если вы напрямую обращаетесь к конечной точке Google OpenID Connect , убедитесь, что вы запрашиваете хотя бы одну из этих областей. масштабы.
Настройте проект в API Console
Прежде чем вы сможете начать получать токены событий безопасности, вы должны создать учетную запись службы и включить RISC API в своем проектеAPI Console . Вы должны использовать тот же проектAPI Console , который вы используете для доступа к службам Google, таким как Google Sign-in, в своем приложении.
Чтобы создать учетную запись службы:
Откройте файл API ConsoleCredentials page . При появлении запроса выберите проектAPI Consoleкоторый вы используете для доступа к службам Google в своем приложении.
Щелкните Создать учетные данные > Учетная запись службы .
Создайте новую учетную запись службы с ролью администратора конфигурации RISC (
roles/riscconfigs.admin), следуя этим инструкциям .Создайте ключ для вновь созданной учетной записи службы. Выберите тип ключа JSON и нажмите «Создать» . Когда ключ будет создан, вы загрузите файл JSON, содержащий учетные данные вашей учетной записи службы. Храните этот файл в надежном месте, но также доступном для конечной точки приемника событий.
Пока вы находитесь на странице учетных данных вашего проекта, также обратите внимание на идентификаторы клиентов, которые вы используете для входа с помощью Google или входа в Google (устаревшая версия). Как правило, у вас есть идентификатор клиента для каждой поддерживаемой вами платформы. Эти идентификаторы клиентов потребуются для проверки токенов событий безопасности, как описано в следующем разделе.
Чтобы включить RISC API:
Откройте страницу RISC API в файлеAPI Console. Убедитесь, что проект, который вы используете для доступа к службам Google, по-прежнему выбран.
Прочтите Условия RISC и убедитесь, что вы понимаете требования.
Если вы включаете API для проекта, принадлежащего организации, убедитесь, что вы уполномочены привязать свою организацию к Условиям RISC.
Нажмите «Включить» , только если вы согласны с Условиями RISC.
Создание конечной точки приемника событий
Чтобы получать уведомления о событиях безопасности от Google, вы создаете конечную точку HTTPS, которая обрабатывает HTTPS-запросы POST. После того как вы зарегистрируете эту конечную точку (см. ниже), Google начнет отправлять криптографически подписанные строки, называемые маркерами событий безопасности, в конечную точку. Токены событий безопасности — это подписанные JWT, которые содержат информацию об одном событии, связанном с безопасностью.
Для каждого маркера события безопасности, который вы получаете на своей конечной точке, сначала проверьте и декодируйте маркер, а затем обработайте событие безопасности в соответствии с вашей службой. Важно проверить токен события перед декодированием, чтобы предотвратить злонамеренные атаки со стороны злоумышленников. В следующих разделах описаны эти задачи:
1. Расшифруйте и проверьте токен события безопасности.
Поскольку токены событий безопасности — это особый тип JWT, для их декодирования и проверки можно использовать любую библиотеку JWT, например, указанную на jwt.io. Какую бы библиотеку вы ни использовали, ваш код проверки токена должен выполнять следующие действия:
- Получите идентификатор издателя Cross-Account Protection (
issuer) и URI сертификата ключа подписи (jwks_uri) из документа конфигурации Google RISC, который можно найти по адресуhttps://accounts.google.com/.well-known/risc-configuration. - Используя выбранную вами библиотеку JWT, получите идентификатор ключа подписи из заголовка токена события безопасности.
- Из документа сертификата ключа подписи Google получите открытый ключ с идентификатором ключа, который вы получили на предыдущем шаге. Если в документе нет ключа с искомым идентификатором, скорее всего, токен события безопасности недействителен, и ваша конечная точка должна вернуть ошибку HTTP 400.
- Используя выбранную вами библиотеку JWT, проверьте следующее:
- Маркер события безопасности подписывается с помощью открытого ключа, полученного на предыдущем шаге.
- Утверждение
audмаркера — это один из идентификаторов клиента ваших приложений. - Утверждение
issтокена соответствует идентификатору издателя, который вы получили из документа обнаружения RISC. Обратите внимание, что вам не нужно проверять срок действия токена (exp), потому что токены событий безопасности представляют исторические события и, как таковые, не имеют срока действия.
Например:
Джава
Использование java-jwt и jwks-rsa-java :
public DecodedJWT validateSecurityEventToken(String token) {
DecodedJWT jwt = null;
try {
// In a real implementation, get these values from
// https://accounts.google.com/.well-known/risc-configuration
String issuer = "accounts.google.com";
String jwksUri = "https://www.googleapis.com/oauth2/v3/certs";
// Get the ID of the key used to sign the token.
DecodedJWT unverifiedJwt = JWT.decode(token);
String keyId = unverifiedJwt.getKeyId();
// Get the public key from Google.
JwkProvider googleCerts = new UrlJwkProvider(new URL(jwksUri), null, null);
PublicKey publicKey = googleCerts.get(keyId).getPublicKey();
// Verify and decode the token.
Algorithm rsa = Algorithm.RSA256((RSAPublicKey) publicKey, null);
JWTVerifier verifier = JWT.require(rsa)
.withIssuer(issuer)
// Get your apps' client IDs from the API console:
// https://console.developers.google.com/apis/credentials?project=_
.withAudience("123456789-abcedfgh.apps.googleusercontent.com",
"123456789-ijklmnop.apps.googleusercontent.com",
"123456789-qrstuvwx.apps.googleusercontent.com")
.acceptLeeway(Long.MAX_VALUE) // Don't check for expiration.
.build();
jwt = verifier.verify(token);
} catch (JwkException e) {
// Key not found. Return HTTP 400.
} catch (InvalidClaimException e) {
} catch (JWTDecodeException exception) {
// Malformed token. Return HTTP 400.
} catch (MalformedURLException e) {
// Invalid JWKS URI.
}
return jwt;
}
питон
import json
import jwt # pip install pyjwt
import requests # pip install requests
def validate_security_token(token, client_ids):
# Get Google's RISC configuration.
risc_config_uri = 'https://accounts.google.com/.well-known/risc-configuration'
risc_config = requests.get(risc_config_uri).json()
# Get the public key used to sign the token.
google_certs = requests.get(risc_config['jwks_uri']).json()
jwt_header = jwt.get_unverified_header(token)
key_id = jwt_header['kid']
public_key = None
for key in google_certs['keys']:
if key['kid'] == key_id:
public_key = jwt.algorithms.RSAAlgorithm.from_jwk(json.dumps(key))
if not public_key:
raise Exception('Public key certificate not found.')
# In this situation, return HTTP 400
# Decode the token, validating its signature, audience, and issuer.
try:
token_data = jwt.decode(token, public_key, algorithms='RS256',
options={'verify_exp': False},
audience=client_ids, issuer=risc_config['issuer'])
except:
raise
# Validation failed. Return HTTP 400.
return token_data
# Get your apps' client IDs from the API console:
# https://console.developers.google.com/apis/credentials?project=_
client_ids = ['123456789-abcedfgh.apps.googleusercontent.com',
'123456789-ijklmnop.apps.googleusercontent.com',
'123456789-qrstuvwx.apps.googleusercontent.com']
token_data = validate_security_token(token, client_ids)
Если токен действителен и был успешно декодирован, верните статус HTTP 202. Затем обработайте событие безопасности, указанное токеном.
2. Обработка событий безопасности
При декодировании токен события безопасности выглядит следующим образом:
{
"iss": "https://accounts.google.com/",
"aud": "123456789-abcedfgh.apps.googleusercontent.com",
"iat": 1508184845,
"jti": "756E69717565206964656E746966696572",
"events": {
"https://schemas.openid.net/secevent/risc/event-type/account-disabled": {
"subject": {
"subject_type": "iss-sub",
"iss": "https://accounts.google.com/",
"sub": "7375626A656374"
},
"reason": "hijacking"
}
}
}
Утверждения iss и aud указывают эмитента токена (Google) и предполагаемого получателя токена (ваша служба). Вы проверили эти утверждения на предыдущем шаге.
Утверждение jti — это строка, которая идентифицирует одно событие безопасности и уникальна для потока. Вы можете использовать этот идентификатор, чтобы отслеживать, какие события безопасности вы получили.
Утверждение events содержит информацию о событии безопасности, которое представляет токен. Это утверждение представляет собой сопоставление идентификатора типа события с утверждением subject , которое указывает пользователя, которого касается это событие, и с любыми дополнительными сведениями о событии, которые могут быть доступны.
Утверждение subject идентифицирует конкретного пользователя с помощью уникального идентификатора учетной записи Google ( sub ). Этот идентификатор учетной записи Google является тем же идентификатором ( sub ), который содержится в токенах JWT ID, выдаваемых более новой библиотекой Sign In With Google ( Javascript , HTML ), устаревшей библиотекой входа Google или OpenID Connect . Если subject_type утверждения — id_token_claims , оно может также включать поле email с адресом электронной почты пользователя.
Используйте информацию в утверждении events , чтобы предпринять соответствующие действия для типа события в указанной учетной записи пользователя.
Идентификаторы токенов OAuth
Для событий OAuth об отдельных токенах тип идентификатора субъекта токена содержит следующие поля:
token_type: поддерживается толькоrefresh_token.token_identifier_alg: возможные значения см. в таблице ниже.token: см. таблицу ниже.
| token_identifier_alg | жетон |
|---|---|
prefix | Первые 16 символов токена. |
hash_base64_sha512_sha512 | Двойной хэш токена с использованием SHA-512. |
Если вы интегрируетесь с этими событиями, рекомендуется индексировать ваши токены на основе этих возможных значений, чтобы обеспечить быстрое совпадение при получении события.
Поддерживаемые типы событий
Cross-Account Protection поддерживает следующие типы событий безопасности:
| Тип события | Атрибуты | Как ответить |
|---|---|---|
https://schemas.openid.net/secevent/risc/event-type/sessions-revoked | Требуется : повторно защитите учетную запись пользователя, завершив его текущие открытые сеансы. | |
https://schemas.openid.net/secevent/oauth/event-type/tokens-revoked | Обязательно . Если токен предназначен для входа в Google, завершите текущие открытые сеансы. Кроме того, вы можете предложить пользователю настроить альтернативный метод входа. Рекомендуем . Если токен предназначен для доступа к другим API Google, удалите все сохраненные вами токены OAuth пользователя. | |
https://schemas.openid.net/secevent/oauth/event-type/token-revoked | См. раздел идентификаторов токенов OAuth для идентификаторов токенов. | Обязательно . Если вы храните соответствующий токен обновления, удалите его и запросите у пользователя повторное согласие в следующий раз, когда потребуется токен доступа. |
https://schemas.openid.net/secevent/risc/event-type/account-disabled | reason=hijacking ,reason=bulk-account | Обязательно . Если причиной отключения учетной записи был Предлагаемый . Если причиной отключения учетной записи была Рекомендуем . Если причина не указана, отключите для пользователя вход в Google и отключите восстановление учетной записи, используя адрес электронной почты, связанный с учетной записью Google (обычно, но не обязательно, с учетной записью Gmail). Предложите пользователю альтернативный метод входа. |
https://schemas.openid.net/secevent/risc/event-type/account-enabled | Предлагаемый . Повторно включите вход через Google для пользователя и повторно включите восстановление учетной записи с адресом электронной почты учетной записи Google пользователя. | |
https://schemas.openid.net/secevent/risc/event-type/account-purged | Предлагается : удалить учетную запись пользователя или предоставить ему альтернативный метод входа. | |
https://schemas.openid.net/secevent/risc/event-type/account-credential-change-required | Рекомендовано : обращайте внимание на подозрительную активность в вашем сервисе и принимайте соответствующие меры. | |
https://schemas.openid.net/secevent/risc/event-type/verification | состояние = state | Предлагается : регистрируйте получение тестового токена. |
Дублированные и пропущенные события
Защита нескольких учетных записей попытается повторно доставить события, которые, по ее мнению, не были доставлены. Поэтому вы можете иногда получать одно и то же событие несколько раз. Если это может привести к повторяющимся действиям, доставляющим неудобства вашим пользователям, рассмотрите возможность использования утверждения jti (уникального идентификатора события) для устранения дублирования событий. Существуют внешние инструменты, такие как Google Cloud Dataflow , которые могут помочь вам выполнить дедупликацию потока данных.
Обратите внимание, что события доставляются с ограниченным количеством попыток, поэтому, если ваш приемник не работает в течение длительного периода времени, вы можете навсегда пропустить некоторые события.
Зарегистрируйте свой приемник
Чтобы начать получать события безопасности, зарегистрируйте конечную точку получателя с помощью RISC API. Вызовы RISC API должны сопровождаться токеном авторизации.
Вы будете получать события безопасности только для пользователей вашего приложения, поэтому вам необходимо настроить экран согласия OAuth в вашем проекте GCP в качестве предварительного условия для шагов, описанных ниже.
1. Создайте токен авторизации
Чтобы сгенерировать токен авторизации для RISC API, создайте JWT со следующими утверждениями:
{
"iss": SERVICE_ACCOUNT_EMAIL,
"sub": SERVICE_ACCOUNT_EMAIL,
"aud": "https://risc.googleapis.com/google.identity.risc.v1beta.RiscManagementService",
"iat": CURRENT_TIME,
"exp": CURRENT_TIME + 3600
}
Подпишите JWT, используя закрытый ключ вашей учетной записи службы, который вы можете найти в файле JSON, загруженном вами при создании ключа учетной записи службы.
Например:
Джава
Использование java-jwt и библиотеки аутентификации Google :
public static String makeBearerToken() {
String token = null;
try {
// Get signing key and client email address.
FileInputStream is = new FileInputStream("your-service-account-credentials.json");
ServiceAccountCredentials credentials =
(ServiceAccountCredentials) GoogleCredentials.fromStream(is);
PrivateKey privateKey = credentials.getPrivateKey();
String keyId = credentials.getPrivateKeyId();
String clientEmail = credentials.getClientEmail();
// Token must expire in exactly one hour.
Date issuedAt = new Date();
Date expiresAt = new Date(issuedAt.getTime() + 3600000);
// Create signed token.
Algorithm rsaKey = Algorithm.RSA256(null, (RSAPrivateKey) privateKey);
token = JWT.create()
.withIssuer(clientEmail)
.withSubject(clientEmail)
.withAudience("https://risc.googleapis.com/google.identity.risc.v1beta.RiscManagementService")
.withIssuedAt(issuedAt)
.withExpiresAt(expiresAt)
.withKeyId(keyId)
.sign(rsaKey);
} catch (ClassCastException e) {
// Credentials file doesn't contain a service account key.
} catch (IOException e) {
// Credentials file couldn't be loaded.
}
return token;
}
Питон
import json
import time
import jwt # pip install pyjwt
def make_bearer_token(credentials_file):
with open(credentials_file) as service_json:
service_account = json.load(service_json)
issuer = service_account['client_email']
subject = service_account['client_email']
private_key_id = service_account['private_key_id']
private_key = service_account['private_key']
issued_at = int(time.time())
expires_at = issued_at + 3600
payload = {'iss': issuer,
'sub': subject,
'aud': 'https://risc.googleapis.com/google.identity.risc.v1beta.RiscManagementService',
'iat': issued_at,
'exp': expires_at}
encoded = jwt.encode(payload, private_key, algorithm='RS256',
headers={'kid': private_key_id})
return encoded
auth_token = make_bearer_token('your-service-account-credentials.json')
Этот токен авторизации можно использовать для вызовов RISC API в течение одного часа. По истечении срока действия токена сгенерируйте новый, чтобы продолжать выполнять вызовы RISC API.
2. Вызов API конфигурации потока RISC
Теперь, когда у вас есть токен авторизации, вы можете использовать RISC API для настройки потока событий безопасности вашего проекта, включая регистрацию конечной точки получателя.
Для этого отправьте HTTPS-запрос POST на https://risc.googleapis.com/v1beta/stream:update , указав конечную точку получателя и интересующие вас типы событий безопасности :
POST /v1beta/stream:update HTTP/1.1
Host: risc.googleapis.com
Authorization: Bearer AUTH_TOKEN
{
"delivery": {
"delivery_method":
"https://schemas.openid.net/secevent/risc/delivery-method/push",
"url": RECEIVER_ENDPOINT
},
"events_requested": [
SECURITY_EVENT_TYPES
]
}
Например:
Джава
public static void configureEventStream(final String receiverEndpoint,
final List<String> eventsRequested,
String authToken) throws IOException {
ObjectMapper jsonMapper = new ObjectMapper();
String streamConfig = jsonMapper.writeValueAsString(new Object() {
public Object delivery = new Object() {
public String delivery_method =
"https://schemas.openid.net/secevent/risc/delivery-method/push";
public String url = receiverEndpoint;
};
public List<String> events_requested = eventsRequested;
});
HttpPost updateRequest = new HttpPost("https://risc.googleapis.com/v1beta/stream:update");
updateRequest.addHeader("Content-Type", "application/json");
updateRequest.addHeader("Authorization", "Bearer " + authToken);
updateRequest.setEntity(new StringEntity(streamConfig));
HttpResponse updateResponse = new DefaultHttpClient().execute(updateRequest);
Header[] responseContentTypeHeaders = updateResponse.getHeaders("Content-Type");
StatusLine responseStatus = updateResponse.getStatusLine();
int statusCode = responseStatus.getStatusCode();
HttpEntity entity = updateResponse.getEntity();
// Now handle response
}
// ...
configureEventStream(
"https://your-service.example.com/security-event-receiver",
Arrays.asList(
"https://schemas.openid.net/secevent/risc/event-type/account-credential-change-required",
"https://schemas.openid.net/secevent/risc/event-type/account-disabled"),
authToken);
Питон
import requests
def configure_event_stream(auth_token, receiver_endpoint, events_requested):
stream_update_endpoint = 'https://risc.googleapis.com/v1beta/stream:update'
headers = {'Authorization': 'Bearer {}'.format(auth_token)}
stream_cfg = {'delivery': {'delivery_method': 'https://schemas.openid.net/secevent/risc/delivery-method/push',
'url': receiver_endpoint},
'events_requested': events_requested}
response = requests.post(stream_update_endpoint, json=stream_cfg, headers=headers)
response.raise_for_status() # Raise exception for unsuccessful requests
configure_event_stream(auth_token, 'https://your-service.example.com/security-event-receiver',
['https://schemas.openid.net/secevent/risc/event-type/account-credential-change-required',
'https://schemas.openid.net/secevent/risc/event-type/account-disabled'])
Если запрос возвращает HTTP 200, поток событий был успешно настроен, и ваша конечная точка-получатель должна начать получать токены событий безопасности. В следующем разделе описывается, как вы можете протестировать конфигурацию потока и конечную точку, чтобы убедиться, что все вместе работает правильно.
Получите и обновите текущую конфигурацию потока
Если в будущем вы когда-нибудь захотите изменить конфигурацию своего потока, вы можете сделать это, отправив авторизованный запрос GET на https://risc.googleapis.com/v1beta/stream , чтобы получить текущую конфигурацию потока, изменив тело ответа. , а затем отправьте измененную конфигурацию обратно на https://risc.googleapis.com/v1beta/stream:update , как описано выше.
Остановить и возобновить поток событий
Если вам когда-нибудь понадобится остановить поток событий от Google, отправьте авторизованный запрос POST на https://risc.googleapis.com/v1beta/stream/status:update с { "status": "disabled" } в тексте запроса. Пока поток деактивирован, Google не отправляет события на вашу конечную точку и не буферизует события безопасности, когда они происходят. Чтобы снова включить поток событий, отправьте { "status": "enabled" } в ту же конечную точку.
3. Необязательно: проверьте конфигурацию вашего потока
Вы можете убедиться, что ваша конфигурация потока и конечная точка получателя правильно работают вместе, отправив токен подтверждения через поток событий. Этот токен может содержать уникальную строку, которую можно использовать для проверки того, что токен был получен в вашей конечной точке. Чтобы использовать этот поток, обязательно подпишитесь на тип события https://schemas.openid.net/secevent/risc/event-type/verification при регистрации приемника .
Чтобы запросить токен подтверждения, отправьте авторизованный HTTPS-запрос POST на https://risc.googleapis.com/v1beta/stream:verify . В теле запроса укажите некоторую идентифицирующую строку:
{
"state": "ANYTHING"
}
Например:
Джава
public static void testEventStream(final String stateString,
String authToken) throws IOException {
ObjectMapper jsonMapper = new ObjectMapper();
String json = jsonMapper.writeValueAsString(new Object() {
public String state = stateString;
});
HttpPost updateRequest = new HttpPost("https://risc.googleapis.com/v1beta/stream:verify");
updateRequest.addHeader("Content-Type", "application/json");
updateRequest.addHeader("Authorization", "Bearer " + authToken);
updateRequest.setEntity(new StringEntity(json));
HttpResponse updateResponse = new DefaultHttpClient().execute(updateRequest);
Header[] responseContentTypeHeaders = updateResponse.getHeaders("Content-Type");
StatusLine responseStatus = updateResponse.getStatusLine();
int statusCode = responseStatus.getStatusCode();
HttpEntity entity = updateResponse.getEntity();
// Now handle response
}
// ...
testEventStream("Test token requested at " + new Date().toString(), authToken);
Питон
import requests
import time
def test_event_stream(auth_token, nonce):
stream_verify_endpoint = 'https://risc.googleapis.com/v1beta/stream:verify'
headers = {'Authorization': 'Bearer {}'.format(auth_token)}
state = {'state': nonce}
response = requests.post(stream_verify_endpoint, json=state, headers=headers)
response.raise_for_status() # Raise exception for unsuccessful requests
test_event_stream(auth_token, 'Test token requested at {}'.format(time.ctime()))
Если запрос выполнен успешно, токен проверки будет отправлен на конечную точку, которую вы зарегистрировали. Затем, например, если ваша конечная точка обрабатывает токены подтверждения, просто регистрируя их в журнале, вы можете проверить свои журналы, чтобы подтвердить, что токен был получен.
Ссылка на код ошибки
RISC API может возвращать следующие ошибки:
| Код ошибки | Сообщение об ошибке | Предлагаемые действия |
|---|---|---|
| 400 | Конфигурация потока должна содержать поле $fieldname . | Ваш запрос к конечной точке https://risc.googleapis.com/v1beta/stream:update недействителен или не может быть проанализирован. Пожалуйста, включите $fieldname в свой запрос. |
| 401 | Неавторизованный. | Авторизация не удалась. Убедитесь, что вы прикрепили токен авторизации к запросу, и что токен действителен и срок его действия не истек. |
| 403 | Конечная точка доставки должна быть URL-адресом HTTPS. | Ваша конечная точка доставки (т. е. конечная точка, в которую вы ожидаете доставку событий RISC) должна быть HTTPS. Мы не отправляем события RISC на URL-адреса HTTP. |
| 403 | Существующая конфигурация потока не имеет совместимого со спецификацией метода доставки для RISC. | В вашем проекте Google Cloud уже должна быть конфигурация RISC. Если вы используете Firebase и у вас включен вход через Google, то Firebase будет управлять RISC для вашего проекта; вы не сможете создать пользовательскую конфигурацию. Если вы не используете вход через Google для своего проекта Firebase, отключите его, а затем повторите попытку обновления через час. |
| 403 | Проект не найден. | Убедитесь, что вы используете правильную учетную запись службы для правильного проекта. Возможно, вы используете учетную запись службы, связанную с удаленным проектом. Узнайте , как просмотреть все учетные записи служб, связанные с проектом . |
| 403 | Учетной записи службы требуется разрешение на доступ к вашей конфигурации RISC | Перейдите в API Console своего проекта и назначьте роль «Администратор конфигурации RISC» ( roles/riscconfigs.admin ) учетной записи службы, которая выполняет вызовы в ваш проект, следуя этим инструкциям . |
| 403 | API-интерфейсы управления потоками должны вызываться только сервисной учетной записью. | Вот дополнительная информация о том , как можно вызывать API Google с помощью сервисного аккаунта . |
| 403 | Конечная точка доставки не принадлежит ни к одному из доменов вашего проекта. | Каждый проект имеет набор авторизованных доменов. Если ваша конечная точка доставки (т. е. конечная точка, на которую вы ожидаете доставку событий RISC) не размещена на одном из них, мы требуем, чтобы вы добавили домен конечной точки в этот набор. |
| 403 | Чтобы использовать этот API, в вашем проекте должен быть настроен хотя бы один клиент OAuth. | RISC работает только в том случае, если вы создаете приложение, поддерживающее Google Sign In . Для этого подключения требуется клиент OAuth. Если в вашем проекте нет OAuth-клиентов, скорее всего, RISC вам не пригодится. Узнайте больше об использовании Google OAuth для наших API . |
| 403 | Неподдерживаемый статус. Неверный статус. | В настоящее время мы поддерживаем только статусы потоков « enabled » и « disabled ». |
| 404 | Проект не имеет конфигурации RISC. Проект не имеет существующей конфигурации RISC, не может обновить статус. | Вызовите конечную точку https://risc.googleapis.com/v1beta/stream:update , чтобы создать новую конфигурацию потока. |
| 4ХХ/5ХХ | Не удалось обновить статус. | Дополнительные сведения см. в подробном сообщении об ошибке. |
Доступ к областям токена
Если вы решите использовать токены доступа для аутентификации в RISC API, ваше приложение должно запрашивать следующие области:
| Конечная точка | Объем |
|---|---|
https://risc.googleapis.com/v1beta/stream/status | https://www.googleapis.com/auth/risc.status.readonly ИЛИ https://www.googleapis.com/auth/risc.status.readwrite |
https://risc.googleapis.com/v1beta/stream/status:update | https://www.googleapis.com/auth/risc.status.readwrite |
https://risc.googleapis.com/v1beta/stream | https://www.googleapis.com/auth/risc.configuration.readonly ИЛИ https://www.googleapis.com/auth/risc.configuration.readwrite |
https://risc.googleapis.com/v1beta/stream:update | https://www.googleapis.com/auth/risc.configuration.readwrite |
https://risc.googleapis.com/v1beta/stream:verify | https://www.googleapis.com/auth/risc.verify |
Нужна помощь?
Во-первых, ознакомьтесь с нашим справочным разделом по кодам ошибок . Если у вас остались вопросы, опубликуйте их в Stack Overflow с тегом #SecEvents .