Аутентификация и авторизация приложений Chat и запросов API Google Chat. (original) (raw)

Аутентификация и авторизация — это механизмы, используемые для проверки личности и доступа к ресурсам соответственно. В этом документе описывается, как работают аутентификация и авторизация для приложений чата и запросов к API чата.

Обзор процесса

На следующей диаграмме показаны основные этапы аутентификации и авторизации для Google Chat:

Рисунок 1. Основные этапы аутентификации и авторизации в Google Chat.

1. Настройте проект Google Cloud, включите Chat API и настройте приложение чата: В процессе разработки вы создадите проект Google Cloud. В этом проекте вы включите Chat API, настроите приложение чата и установите аутентификацию. Для получения дополнительной информации см. разделы «Разработка в Google Workspace» и «Создание приложения чата» .
2. Вызов API чата: Когда ваше приложение вызывает API чата, оно отправляет в API чата учетные данные для аутентификации. Если ваше приложение аутентифицируется с помощью сервисной учетной записи, учетные данные отправляются как часть кода вашего приложения. Если вашему приложению требуется вызывать API чата, используя аутентификацию пользователя, которая еще не была предоставлена, оно запрашивает у пользователя вход в систему.
3. Запрос ресурсов : Ваше приложение запрашивает доступ с областями действия , которые вы указываете при настройке аутентификации.
4. Запрос согласия: если ваше приложение проходит аутентификацию как пользователь, Google отображает экран согласия OAuth, чтобы пользователь мог решить, предоставлять ли вашему приложению доступ к запрашиваемым данным. Аутентификация с помощью служебной учетной записи не требует согласия пользователя.
5. Отправка одобренного запроса на доступ к ресурсам: если пользователь соглашается с областями авторизации, ваше приложение объединяет учетные данные и одобренные пользователем области авторизации в запрос. Запрос отправляется на сервер авторизации Google для получения токена доступа.
6. Google возвращает токен доступа: токен доступа содержит список предоставленных областей действия. Если возвращенный список областей действия более ограничен, чем запрошенные, ваше приложение отключает все функции, ограниченные токеном.
7. Доступ к запрошенным ресурсам: Ваше приложение использует токен доступа от Google для вызова API чата и доступа к ресурсам API чата.
8. Получите токен обновления (необязательно): если вашему приложению необходимо получить доступ к API Google Chat после истечения срока действия одного токена доступа, оно может получить токен обновления. Дополнительную информацию см. в разделе «Использование OAuth 2.0 для доступа к API Google» .
9. Запрос дополнительных ресурсов: Если вашему приложению требуется расширенный доступ, оно запрашивает у пользователя предоставление новых областей действия, что приводит к новому запросу на получение токена доступа (шаги 3-6).

Когда приложения для чата требуют аутентификации

Приложения для чата могут отправлять сообщения в ответ на взаимодействие с пользователем или асинхронно. Они также могут выполнять задачи от имени пользователя, например, создавать чат-пространство или получать список участников чат-пространства.

Приложения для чата не требуют аутентификации для ответа на взаимодействие с пользователем, за исключением случаев, когда приложение для чата обращается к API чата или другому API Google при обработке ответа.

Для отправки асинхронных сообщений или выполнения задач от имени пользователя приложения чата отправляют RESTful-запросы к API чата , которые требуют аутентификации и авторизации.

Ответы на действия пользователя не требуют аутентификации.

Приложениям Google Chat не требуется аутентификация пользователя или самого приложения для чата, чтобы синхронно получать и обрабатывать события взаимодействия .

Приложения Google Chat получают события взаимодействия всякий раз, когда пользователь взаимодействует с приложением чата или вызывает его, включая следующие:

• Пользователь отправляет сообщение в приложение для чата.
• Пользователь упоминает приложение для чата с помощью символа @.
• Пользователь вызывает одну из команд приложения «Чат».

На следующей диаграмме показана последовательность запросов и ответов между пользователем чата и приложением чата:

Рисунок 2. События взаимодействия в чат-приложении не требуют аутентификации.

1. Пользователь отправляет сообщение в приложение «Чат» в Google Chat.
2. Google Chat пересылает сообщение в приложение.
3. Приложение получает сообщение, обрабатывает его и отправляет ответ в Google Chat.
4. Google Chat отображает ответ пользователю в определенном месте.

Эта последовательность повторяется для каждого события взаимодействия в приложении «Чат».

Асинхронные сообщения требуют аутентификации.

Асинхронные сообщения возникают, когда приложение чата отправляет запрос к API чата , что требует аутентификации и авторизации.

Вызывая API чата, приложения чата могут отправлять сообщения в Google Chat или выполнять задачи и получать доступ к данным от имени пользователя. Например, после обнаружения сбоя сервера приложение чата может вызвать API чата, чтобы:

• Создайте отдельный чат, посвященный расследованию и устранению сбоя.
• Добавляйте пользователей в чат.
• Оставьте сообщение в чате, чтобы подробно описать проблему.

На следующей диаграмме показана асинхронная последовательность сообщений между приложением чата и пространством чата:

Рисунок 3. Асинхронные сообщения требуют аутентификации.

1. Приложение чата создает сообщение, вызывая API чата с помощью метода spaces.messages.create , и включает учетные данные пользователя в HTTP-запрос.
2. Google Chat аутентифицирует приложение чата с помощью учетных данных сервисной учетной записи или пользователя.
3. Google Chat отображает сообщение приложения в указанном пространстве чата.

Области действия API чата

Настройте экран согласия OAuth и выберите области действия , чтобы определить, какая информация отображается пользователям и рецензентам приложения, а также зарегистрируйте свое приложение, чтобы вы могли опубликовать его позже.

Для определения уровня доступа, предоставляемого вашему приложению, необходимо идентифицировать и объявить области авторизации . Область авторизации — это строка URI OAuth 2.0, содержащая имя приложения Google Workspace, тип данных, к которым оно получает доступ, и уровень доступа.

Неконфиденциальные прицелы

Прицелы повышенной чувствительности

Ограниченные области применения

В таблицах выше указаны области их чувствительности в соответствии со следующими определениями:

• Неконфиденциальная информация — Эти области действия обеспечивают наименьший объем авторизационного доступа и требуют лишь базовой проверки приложения. Для получения информации об этом требовании см. Шаги по подготовке к проверке .
• Конфиденциальные — Эти области доступа предоставляют вашему приложению доступ к данным Google конкретного пользователя после получения от него разрешения. Это требует дополнительной проверки приложения. Для получения информации об этом требовании см. раздел «Шаги для приложений, запрашивающих конфиденциальные области доступа» .
• Ограниченный доступ — Эти области доступа предоставляют широкий доступ к данным пользователей Google и требуют прохождения процедуры подтверждения ограниченного доступа. Для получения информации об этом требовании см. Google API Services: Политика в отношении данных пользователей и Дополнительные требования к конкретным областям доступа API . См. также Шаги для приложений, запрашивающих ограниченный доступ .

Если вашему приложению требуется доступ к другим API Google, вы также можете добавить соответствующие области действия. Дополнительную информацию об областях действия API Google см. в разделе «Использование OAuth 2.0 для доступа к API Google» .

Чтобы узнать больше о областях действия API Google Workspace, см. раздел «Настройка экрана согласия OAuth» и выберите «Области действия» .

Типы необходимой аутентификации

Существует два способа аутентификации и авторизации чат-приложений с помощью API чата:

Аутентификация пользователя

Аутентификация пользователя позволяет приложению чата получать доступ к данным пользователя и выполнять действия от его имени. Области действия OAuth определяют разрешенные данные и действия. Если приложение чата не было установлено администратором или ему не было предоставлено делегирование в масштабе домена , то при первом выполнении приложением чата действия от имени пользователя пользователь должен авторизовать приложение чата с помощью экрана согласия OAuth .

аутентификация приложения

Аутентификация приложения позволяет приложению чата использовать учетные данные сервисной учетной записи и получать доступ к данным и выполнять действия от своего имени. Поскольку приложение чата использует свои собственные учетные данные для доступа к ресурсам и работы с ними, конечным пользователям не нужно подтверждать вызовы API приложения чата, и вы не можете добавить области авторизации OAuth, поддерживающие авторизацию приложения, на экран согласия OAuth.

Для аутентификации приложений используются два типа областей авторизации OAuth:

• https://www.googleapis.com/auth/chat.bot : Ваше приложение для чата может вызывать методы API Google Chat, поддерживающие эту область авторизации, для создания, обновления, получения, перечисления или удаления ресурсов, к которым оно имеет доступ, например, сообщений в пространствах, куда конечные пользователи добавляют ваше приложение для чата. Ваше приложение для чата может самостоятельно предоставить эту область авторизации, авторизация администратора или конечного пользователя не требуется.
• https://www.googleapis.com/auth/chat.app.* : Использование этих областей действия требует однократного подтверждения администратора. Для получения подтверждения администратора необходимо подготовить учетную запись службы приложения «Чат» для получения подтверждения администратора, создав клиент OAuth, совместимый с Google Workspace Marketplace, и настроив приложение в SDK Google Workspace Marketplace. Эти области действия позволяют вашему приложению «Чат» вызывать определенные методы API Google Chat. Например, chat.app.spaces.create позволяет приложениям создавать пространства чата.

Если метод поддерживает как аутентификацию пользователя, так и аутентификацию приложения, API чата вернет разные результаты в зависимости от используемого типа аутентификации:

• При использовании аутентификации приложения методы возвращают только те ресурсы, к которым имеет доступ приложение чата .
• При использовании аутентификации пользователя методы возвращают только те ресурсы, к которым пользователь имеет доступ.

Например, вызов метода spaces.list() с авторизацией приложения возвращает список пространств, в которых состоит приложение чата. Вызов spaces.list() с авторизацией пользователя возвращает список пространств, в которых состоит пользователь. На практике, в зависимости от архитектуры и возможностей вашего приложения чата, при вызове API чата могут использоваться оба типа аутентификации.

Для асинхронных вызовов API чата

В таблице ниже перечислены методы API чата и поддерживаемые ими области авторизации:

Для событий взаимодействия в чат-приложении

В таблице ниже перечислены распространенные способы взаимодействия пользователей с чат-приложениями, а также указано, требуется ли аутентификация или поддерживается ли она:

• Для получения общего обзора аутентификации и авторизации в Google Workspace см. раздел «Узнайте больше об аутентификации и авторизации» .
• Обзор аутентификации и авторизации в Google Cloud см. в разделе «Обзор аутентификации» .
• Для получения дополнительной информации о служебных учетных записях см. раздел «Служебные учетные записи» .
• Чтобы узнать больше о том, как API Google используют OAuth 2.0, см. раздел «Использование OAuth 2.0 для доступа к API Google» .
• Настройте аутентификацию и авторизацию с использованием учетных данных пользователя или служебной учетной записи .
• Для управления детализированными разрешениями OAuth см. раздел «Управление детализированными разрешениями OAuth для приложений Google Chat» .