Terapkan verifikasi pesan permintaan untuk memastikan bahwa permintaan Checkout dan Pengiriman Pesanan ke endpoint pemenuhan Anda berasal dari Google dan mencegah pihak ketiga yang tidak berwenang memanggil endpoint Anda.
Verifikasi pesan menggunakan JWT
Permintaan ke endpoint pemenuhan yang berasal dari server Pesan dengan Google berisi Token Web JSON (JWT) yang ditandatangani di header Authorization untuk keamanan. Token ini dihasilkan oleh layanan otorisasi bersama yang dapat dipanggil oleh Google dan implementasi endpoint fulfillment Anda.
- Google membuat JWT yang ditandatangani menggunakan layanan otorisasi dan project ID dari project Pemesanan Makanan Anda.
- Google mengirimkan token yang ditandatangani di header
Authorizationsetiap permintaan ke endpoint pemenuhan Anda. - Endpoint Anda harus mendekode token yang ditandatangani menggunakan Library Google Auth. Token yang didekode berisi detail seperti project ID, penerbit, waktu habis masa berlaku, dan waktu penerbitan. Gunakan data ini untuk menentukan keaslian permintaan.
Untuk menerapkan verifikasi permintaan project Anda, ikuti langkah-langkah berikut:
- Ekstrak JWT dari header
Authorizationpermintaan masuk. - Dekode token menggunakan Library Google Auth.
- Tetapkan
audiencetoken ke project ID Anda. - Verifikasi penerbit, project ID, dan informasi lain yang dimuat dalam payload token untuk mendapatkan akurasi.
Library Otorisasi Google
Untuk memverifikasi pesan dari Pesan dengan Google dan membuat kode otorisasi untuk pesan yang dikirimkan layanan web Anda ke Google, gunakan Library Google Auth dalam bahasa pemrograman pilihan Anda:
- Library autentikasi Google untuk Node.js
- Library autentikasi Google untuk Python
- Library autentikasi Google untuk Java
Download dan tambahkan salah satu library ini ke kode implementasi layanan web Anda.
Contoh verifikasi permintaan
Contoh berikut menunjukkan cara menerapkan verifikasi permintaan:
Node.js
const auth = require('google-auth-library')
const authClient = new auth.OAuth2Client()
/**
* Verifies that an incoming request came from Google.
* @param {String} idToken - The ID token used to verify the request
* (i.e. The value found in the Authorization header of an incoming request).
* @param {String} audience - The expected audience of the request
* (i.e. The project ID for your project).
* @return {boolean} True if request came from Google, false otherwise.
*/
function isRequestFromGoogle(idToken, audience) {
authClient.verifyIdToken({idToken, audience}, (err, info) => {
return !(err || info['iss'] !== 'https://accounts.google.com')
})
}
Python
from google.oauth2 import id_token
from google.auth.transport import requests
def isRequestFromGoogle(audience, token):
""" Verifies that an incoming request came from Google.
Args:
audience (str): The expected audience of the request
(i.e. The project ID for your project)
token (str): The ID token used to verify the request
(i.e. The value found in the Authorization
header of an incoming request)
Returns:
True if the request came from Google, False otherwise.
"""
id_info = id_token.verify_oauth2_token(token, requests.Request(), audience)
return id_info['iss'] == 'https://accounts.google.com'
Java
/**
* Verifies that an incoming request came from Google.
* @param audience The expected audience of the request
* (i.e. The project ID for your project)
* @param token The ID token used to verify the request
* (i.e. The value found in the Authorization
* header of an incoming request)
* @return {@code true} if request is from Google, else {@code false}
*/
public boolean isRequestFromGoogle(String audience, String token) {
GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier
.Builder(transport, jsonFactory)
.setAudience(Collections.singletonList(audience))
.build();
GoogleIdToken idToken = verifier.verify(token);
if (idToken == null) return false;
Payload payload = idToken.getPayload();
String issuer = (String) payload.get("iss");
return issuer.equals("https://accounts.google.com");
}