Se uma assinatura de push usar autenticação, o serviço Pub/Sub assinará um JWT e o enviará no cabeçalho de autorização da solicitação de push. O JWT inclui declarações e uma assinatura.
Os assinantes podem validar o JWT e verificar o seguinte:
- As declarações são precisas.
- O serviço do Pub/Sub assinou as declarações.
Se os assinantes usam um firewall, eles não podem receber solicitações push. Para receber solicitações push, desative o firewall e verifique o JWT.
Antes de começar
- Saiba mais sobre assinaturas.
- Entenda como as assinaturas push funcionam.
- Crie uma assinatura de push.
Formato JWT
O JWT é um JWT do OpenIDConnect que consiste em um cabeçalho, conjunto de declarações e assinatura. O serviço Pub/Sub codifica o JWT como uma string base64 com delimitadores de ponto.
Por exemplo, o cabeçalho de autorização a seguir inclui um JWT codificado:
"Authorization" : "Bearer eyJhbGciOiJSUzI1NiIsImtpZCI6IjdkNjgwZDhjNzBkNDRlOTQ3MTMzY2JkNDk5ZWJjMWE2MWMzZDVh YmMiLCJ0eXAiOiJKV1QifQ.eyJhdWQiOiJodHRwczovL2V4YW1wbGUuY29tIiwiYXpwIjoiMTEzNzc0M jY0NDYzMDM4MzIxOTY0IiwiZW1haWwiOiJnYWUtZ2NwQGFwcHNwb3QuZ3NlcnZpY2VhY2NvdW50LmNvb SIsImVtYWlsX3ZlcmlmaWVkIjp0cnVlLCJleHAiOjE1NTAxODU5MzUsImlhdCI6MTU1MDE4MjMzNSwia XNzIjoiaHR0cHM6Ly9hY2NvdW50cy5nb29nbGUuY29tIiwic3ViIjoiMTEzNzc0MjY0NDYzMDM4MzIxO TY0In0.QVjyqpmadTyDZmlX2u3jWd1kJ68YkdwsRZDo-QxSPbxjug4ucLBwAs2QePrcgZ6hhkvdc4UHY 4YF3fz9g7XHULNVIzX5xh02qXEH8dK6PgGndIWcZQzjSYfgO-q-R2oo2hNM5HBBsQN4ARtGK_acG-NGG WM3CQfahbEjZPAJe_B8M7HfIu_G5jOLZCw2EUcGo8BvEwGcLWB2WqEgRM0-xt5-UPzoa3-FpSPG7DHk7 z9zRUeq6eB__ldb-2o4RciJmjVwHgnYqn3VvlX9oVKEgXpNFhKuYA-mWh5o7BCwhujSMmFoBOh6mbIXF cyf5UiVqKjpqEbqPGo_AvKvIQ9VTQ"
O cabeçalho e o conjunto de declarações são strings JSON. Depois de decodificadas, elas assumem o seguinte formato:
{"alg":"RS256","kid":"7d680d8c70d44e947133cbd499ebc1a61c3d5abc","typ":"JWT"} { "aud":"https://example.com", "azp":"113774264463038321964", "email":"gae-gcp@appspot.gserviceaccount.com", "sub":"113774264463038321964", "email_verified":true, "exp":1550185935, "iat":1550182335, "iss":"https://accounts.google.com" }
Os tokens anexados às solicitações enviadas para os endpoints de push podem ter até uma hora.
Configurar o Pub/Sub para autenticação por push
O exemplo a seguir mostra como definir a conta de serviço de autenticação por push como uma conta de serviço de sua escolha e como conceder o papel iam.serviceAccountTokenCreator
ao agente de serviço service-{PROJECT_NUMBER}@gcp-sa-pubsub.iam.gserviceaccount.com
.
Console
Acesse a página Assinaturas do Pub/Sub.
Clique em Criar assinatura.
No campo ID da assinatura, digite um nome.
Selecione um tópico.
Selecione Push como o Tipo de entrega.
Insira o URL de um endpoint.
Marque a opção Ativar autenticação.
Selecione uma conta de serviço
Verifique se o agente de serviço
service-{PROJECT_NUMBER}@gcp-sa-pubsub.iam.gserviceaccount.com
tem o papeliam.serviceAccountTokenCreator
no painel do IAM do projeto. Se a conta de serviço não tiver recebido o papel, clique em Conceder no painel do IAM para fazer isso.Opcional: insira um público-alvo.
Clique em Criar.
gcloud
# Configure the push subscription gcloud pubsub subscriptions (create|update|modify-push-config) ${SUBSCRIPTION} \ --topic=${TOPIC} \ --push-endpoint=${PUSH_ENDPOINT_URI} \ --push-auth-service-account=${SERVICE_ACCOUNT_EMAIL} \ --push-auth-token-audience=${OPTIONAL_AUDIENCE_OVERRIDE} # Your service agent # `service-{PROJECT_NUMBER}@gcp-sa-pubsub.iam.gserviceaccount.com` needs to have the # `iam.serviceAccountTokenCreator` role. PUBSUB_SERVICE_ACCOUNT="service-${PROJECT_NUMBER}@gcp-sa-pubsub.iam.gserviceaccount.com" gcloud projects add-iam-policy-binding ${PROJECT_ID} \ --member="serviceAccount:${PUBSUB_SERVICE_ACCOUNT}"\ --role='roles/iam.serviceAccountTokenCreator'
Ao ativar a autenticação para uma assinatura de push, talvez você encontre um erro permission denied
ou not authorized
.
Para resolver esse problema, conceda ao principal que iniciou a criação ou atualização da assinatura a
permissão iam.serviceAccounts.actAs
na conta de serviço. Para mais informações,
consulte Autenticação em
"Criar assinaturas de push".
Se você usa uma assinatura de push autenticada com um aplicativo do App Engine protegido com o Identity-Aware Proxy, é preciso fornecer o ID do cliente do IAP como o público-alvo do token de autenticação push.
Para ativar o IAP no seu aplicativo do App Engine, consulte Como ativar o IAP.
Para encontrar o ID do cliente do IAP, procure o ID IAP-App-Engine-app
na página Credenciais.
Reivindicações
O JWT pode ser usado para validar que as declarações, incluindo email
e aud
,
sejam assinadas pelo Google. Para mais informações sobre como as APIs do OAuth
2.0 do Google podem ser usadas para autenticação e autorização, consulte
OpenID Connect.
Dois mecanismos tornam essas declarações significativas. Primeiro,
o Pub/Sub exige que o usuário ou a conta de serviço que está fazendo a
chamada CreateSubscription, UpdateSubscription ou nem modifiquem ou modifiquem as informações de um papel
com a permissão iam.serviceAccounts.actAs
na conta de serviço de
autenticação push. Um exemplo desse tipo de papel é o
roles/iam.serviceAccountUser
.
Em segundo lugar, o acesso aos certificados utilizados para assinar os tokens é rigidamente
controlado. Para criar o token, o Pub/Sub precisa chamar um serviço interno do Google usando uma identidade de conta de serviço de assinatura separada, que é o agente de serviço service-${PROJECT_NUMBER}@gcp-sa-pubsub.iam.gserviceaccount.com
.
Essa conta de serviço de assinatura precisa ter a permissão iam.serviceAccounts.getOpenIdToken
ou um papel de Criador de token de conta de serviço (roles/iam.serviceAccountTokenCreator
) na conta de serviço de autenticação por push (ou em qualquer recurso ancestral, como o projeto, da conta de serviço de autenticação push).
Validar tokens
A validação de tokens enviados pelo Pub/Sub para o endpoint de push envolve:
- Verificar a integridade do token usando a validação de assinatura.
- Garantir que as reivindicações de e-mail e de público no token correspondam aos valores definidos na configuração da assinatura de push.
O exemplo a seguir ilustra como autenticar uma solicitação de push em um aplicativo do App Engine não protegido com o Identity-Aware Proxy. Se o aplicativo do App Engine estiver protegido com o IAP, o cabeçalho da solicitação HTTP que contém o JWT do IAP será x-goog-iap-jwt-assertion
e precisará ser validado de acordo.
protocolo
Solicitação:
GET https://oauth2.googleapis.com/tokeninfo?id_token={BEARER_TOKEN}
Saída:
200 OK
{ "alg": "RS256", "aud": "example.com", "azp": "104176025330667568672", "email": "{SERVICE_ACCOUNT_NAME}@{YOUR_PROJECT_NAME}.iam.gserviceaccount.com", "email_verified": "true", "exp": "1555463097", "iat": "1555459497", "iss": "https://accounts.google.com", "kid": "3782d3f0bc89008d9d2c01730f765cfb19d3b70e", "sub": "104176025330667568672", "typ": "JWT" }
C#
Antes de tentar esse exemplo, siga as instruções de configuração do C# em Guia de início rápido: como usar bibliotecas de cliente. Para mais informações, consulte a documentação de referência da API Pub/Sub C#.
Go
Java
Node.js
Python
Ruby
Para informações sobre a variável de ambiente PUBSUB_VERIFICATION_TOKEN
usada nos exemplos de código acima, consulte Como gravar e responder a mensagens do Pub/Sub.
Encontre mais exemplos sobre como validar o JWT do portador neste Guia do Login do Google para sites. Para mais informações sobre os tokens do OpenID, acesse o guia do OpenID Connect, que inclui uma lista das bibliotecas de cliente que ajudam a validar os JWTs.
Autenticação de outros serviços do Google Cloud
O Cloud Run, o App Engine e o Cloud Functions autenticam chamadas HTTP do Pub/Sub verificando tokens gerados pelo Pub/Sub. A única configuração necessária é conceder os papéis do IAM necessários à conta do autor da chamada.
Consulte os guias e tutoriais a seguir para diferentes casos de uso com esses serviços:
Cloud Run
- Acionamento de push do Pub/Sub: sua conta de serviço de autenticação por push precisa ter o papel
roles/run.invoker
e estar vinculada a um serviço do Cloud Run para invocar um serviço correspondente do Cloud Run. - Tutorial Como usar o Pub/Sub com o Cloud Run
App Engine
Cloud Functions
- Gatilhos HTTP: a sua conta de serviço de autenticação push precisa ter o papel
roles/cloudfunctions.invoker
para invocar uma função se você pretende usar solicitações de push Pub/Sub como gatilhos HTTP para a função - Gatilhos do Google Cloud Pub/Sub: os papéis e as permissões do IAM serão configurados automaticamente se você usar os acionadores do Pub/Sub para invocar uma função.