O tipo de vinculação do OAuth e do Login do Google adiciona o Login do Google sobre o OAuth a vinculação de contas. Isso fornece um link baseado em voz simples para os usuários do Google e, ao mesmo tempo, ativar a vinculação de contas para os usuários que se registraram no serviço. com uma identidade que não seja do Google.
Esse tipo de vinculação começa com o Login do Google, que permite verificar se o As informações de perfil do Google existem no seu sistema. Se as informações do usuário não for encontrada no sistema, um fluxo OAuth padrão será iniciado. O usuário também pode optar por criar uma nova conta com as informações do perfil do Google.
Para vincular a conta com o OAuth e o Login do Google, siga estas instruções etapas:
- Primeiro, peça ao usuário que dê consentimento para acessar o perfil do Google dele.
- Use as informações do perfil para identificar o usuário.
- Se você não encontrar uma correspondência para o usuário do Google no seu sistema de autenticação,
o fluxo continuará dependendo se você configurou seu projeto do Actions
no Console do Actions para permitir a criação de contas de usuário por voz ou somente por comandos
seu site.
- Se você permitir a criação de contas por voz, valide o documento de identificação. token recebido do Google. Você pode criar um usuário com base no informações de perfil contidas no token de ID.
- Se você não permitir a criação de contas por voz, o usuário será transferido para um navegador no qual eles podem carregar a página de autorização e completar o processo fluxo de criação.
Oferecer suporte à criação de contas por voz
Se você permitir a criação de contas de usuário por voz, o Google Assistente perguntará se ele quer:
- Criar uma nova conta no seu sistema usando as informações da Conta do Google.
- Faça login no seu sistema de autenticação com uma conta diferente se ela tiver uma uma conta que não seja do Google.
É recomendável permitir a criação de contas por voz se você quiser minimizar o atrito do fluxo de criação de contas. O usuário só precisa sair do fluxo de voz se quiserem fazer login usando uma conta que não seja do Google.
Não permitir a criação de contas usando a voz
Se você não permitir a criação de contas de usuário por voz, o Google Assistente abrirá o URL para site que você forneceu para autenticação do usuário. Se a interação estiver acontecendo em um dispositivo sem tela, o Google Assistente direciona o usuário para um smartphone para continuar o fluxo de vinculação da conta.
É recomendável não permitir a criação se:
Você não quer permitir que usuários que não tenham contas do Google criem um novo conta de usuário e quiser que eles o vinculem às contas de usuário existentes na sua do Google Cloud. Por exemplo, se você oferecer um programa de fidelidade, é importante garantir que o usuário não perca os pontos acumulados uma conta existente.
Você precisa ter controle total do fluxo de criação de contas. Por exemplo, é possível proibir a criação se você precisar mostrar seus Termos de Serviço para o usuário durante criação de conta.
Implementar a vinculação de contas do OAuth e do Login do Google
As contas são vinculadas aos fluxos OAuth 2.0 padrão do setor. O Actions on Google oferece suporte aos fluxos de código implícito e de autorização.
No fluxo de código implícito, o Google abre o endpoint de autorização no navegador do usuário. Após o login, você retorna um token de acesso de longa duração para o Google. Esse token de acesso agora está incluído em todas as solicitações enviadas do Assistente para sua ação.
No fluxo do código de autorização, você precisa de dois endpoints:
- O endpoint de autorização, responsável por apresentar a IU de login aos usuários que ainda não fizeram login e registrar o consentimento para o acesso solicitado na forma de um código de autorização de curta duração.
- O endpoint de troca de token, que é responsável por dois tipos de trocas:
- troca um código de autorização por um token de atualização de longa duração e um token de acesso de curta duração. Essa troca acontece quando o usuário passa pelo fluxo de vinculação da conta.
- Troca um token de atualização de longa duração por um token de acesso de curta duração. Essa troca acontece quando o Google precisa de um novo token de acesso porque ele expirou.
Embora o fluxo do código implícito seja mais simples de implementar, o Google recomenda que os tokens de acesso emitidos usando o fluxo implícito nunca expirem, porque o uso do token com o fluxo implícito força o usuário a vincular a conta novamente. Se você precisar da validade do token por motivos de segurança, considere o uso do fluxo do código de autenticação.
Configurar o projeto
Para configurar o projeto para usar o OAuth e a conta do Login do Google , siga estas etapas:
- Abra o Console do Actions e selecione o projeto que você quer usar.
- Clique na guia Desenvolver e escolha Vinculação de contas.
- Ative a chave ao lado de Vinculação de contas.
- Na seção Criação de conta, selecione Sim.
Em Tipo de vinculação, selecione OAuth & Login do Google e implícito.
Em Informações do cliente, faça o seguinte:
- Atribua um valor ao ID do cliente emitido pelas suas ações para o Google para identificar solicitações vindas do Google.
- Insira os URLs dos endpoints de autorização e de troca de token.
Clique em Salvar.
Implementar seu servidor OAuth
To support the OAuth 2.0 implicit flow, your service makes an authorization endpoint available by HTTPS. This endpoint is responsible for authenticating and obtaining consent from users for data access. The authorization endpoint presents a sign-in UI to your users that aren't already signed in and records consent to the requested access.
When your Action needs to call one of your service's authorized APIs, Google uses this endpoint to get permission from your users to call these APIs on their behalf.
A typical OAuth 2.0 implicit flow session initiated by Google has the following flow:
- Google opens your authorization endpoint in the user's browser. The user signs in if not signed in already, and grants Google permission to access their data with your API if they haven't already granted permission.
- Your service creates an access token and returns it to Google by redirecting the user's browser back to Google with the access token attached to the request.
- Google calls your service's APIs, and attaches the access token with each request. Your service verifies that the access token grants Google authorization to access the API and then completes the API call.
Handle authorization requests
When your Action needs to perform account linking via an OAuth2 implicit flow, Google sends the user to your authorization endpoint with a request that includes the following parameters:
| Authorization endpoint parameters | |
|---|---|
client_id |
The client ID you assigned to Google. |
redirect_uri |
The URL to which you send the response to this request. |
state |
A bookkeeping value that is passed back to Google unchanged in the redirect URI. |
response_type |
The type of value to return in the response. For the OAuth 2.0 implicit
flow, the response type is always token. |
For example, if your authorization endpoint is available at https://myservice.example.com/auth,
a request might look like:
GET https://myservice.example.com/auth?client_id=GOOGLE_CLIENT_ID&redirect_uri=REDIRECT_URI&state=STATE_STRING&response_type=token
For your authorization endpoint to handle sign-in requests, do the following steps:
Verify the
client_idandredirect_urivalues to prevent granting access to unintended or misconfigured client apps:- Confirm that the
client_idmatches the client ID you assigned to Google. - Confirm that the URL specified by the
redirect_uriparameter has the following form:https://oauth-redirect.googleusercontent.com/r/YOUR_PROJECT_ID
- Confirm that the
Check if the user is signed in to your service. If the user isn't signed in, complete your service's sign-in or sign-up flow.
Generate an access token that Google will use to access your API. The access token can be any string value, but it must uniquely represent the user and the client the token is for and must not be guessable.
Send an HTTP response that redirects the user's browser to the URL specified by the
redirect_uriparameter. Include all of the following parameters in the URL fragment:access_token: the access token you just generatedtoken_type: the stringbearerstate: the unmodified state value from the original request The following is an example of the resulting URL:https://oauth-redirect.googleusercontent.com/r/YOUR_PROJECT_ID#access_token=ACCESS_TOKEN&token_type=bearer&state=STATE_STRING
Google's OAuth 2.0 redirect handler will receive the access token and confirm
that the state value hasn't changed. After Google has obtained an
access token for your service, Google will attach the token to subsequent calls
to your Action as part of the AppRequest.
Handle automatic linking
After the user gives your Action consent to access their Google profile, Google sends a request that contains a signed assertion of the Google user's identity. The assertion contains information that includes the user's Google Account ID, name, and email address. The token exchange endpoint configured for your project handles that request.
If the corresponding Google account is already present in your authentication system,
your token exchange endpoint returns a token for the user. If the Google account doesn't
match an existing user, your token exchange endpoint returns a user_not_found error.
The request has the following form:
POST /token HTTP/1.1 Host: oauth2.example.com Content-Type: application/x-www-form-urlencoded grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&intent=get&assertion=JWT&consent_code=CONSENT_CODE&scope=SCOPES
Your token exchange endpoint must be able to handle the following parameters:
| Token endpoint parameters | |
|---|---|
grant_type |
The type of token being exchanged. For these requests, this
parameter has the value urn:ietf:params:oauth:grant-type:jwt-bearer. |
intent |
For these requests, the value of this parameter is `get`. |
assertion |
A JSON Web Token (JWT) that provides a signed assertion of the Google user's identity. The JWT contains information that includes the user's Google Account ID, name, and email address. |
consent_code |
Optional: When present, a one-time code that indicates that the user has granted consent for your Action to access the specified scopes. |
scope |
Optional: Any scopes you configured Google to request from users. |
When your token exchange endpoint receives the linking request, it should do the following:
Validate and decode the JWT assertion
You can validate and decode the JWT assertion by using a JWT-decoding library for your language. Use Google's public keys (available in JWK or PEM format) to verify the token's signature.
When decoded, the JWT assertion looks like the following example:
{ "sub": 1234567890, // The unique ID of the user's Google Account "iss": "https://accounts.google.com", // The assertion's issuer "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID "iat": 233366400, // Unix timestamp of the assertion's creation time "exp": 233370000, // Unix timestamp of the assertion's expiration time "name": "Jan Jansen", "given_name": "Jan", "family_name": "Jansen", "email": "jan@gmail.com", // If present, the user's email address "locale": "en_US" }
In addition to verifying the token's signature, verify that the assertion's issuer
(iss field) is https://accounts.google.com and that the audience (aud field)
is the client ID assigned to your Action.
Check if the Google account is already present in your authentication system
Check whether either of the following conditions are true:
- The Google Account ID, found in the assertion's
subfield, is in your user database. - The email address in the assertion matches a user in your user database.
If either condition is true, the user has already signed up and you can issue an access token.
If neither the Google Account ID nor the email address specified in the assertion
matches a user in your database, the user hasn't signed up yet. In this case, your
token exchange endpoint should reply with a HTTP 401 error, that specifies error=user_not_found,
as in the following example:
HTTP/1.1 401 Unauthorized
Content-Type: application/json;charset=UTF-8
{
"error":"user_not_found",
}
user_not_found error, Google
calls your token exchange endpoint with the value of the intent parameter
set to create and sending an ID token that contains the user's profile information
with the request.
Processar a criação de contas pelo Login do Google
Quando um usuário precisa criar uma conta no seu serviço, o Google
solicitação ao seu endpoint de troca de token que especifica
intent=create, como no exemplo abaixo:
POST /token HTTP/1.1 Host: oauth2.example.com Content-Type: application/x-www-form-urlencoded response_type=token&grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&scope=SCOPES&intent=create&consent_code=CONSENT_CODE&assertion=JWT[&NEW_ACCOUNT_INFO]
O parâmetro assertion contém um JSON Web Token (JWT) que fornece
uma declaração assinada da identidade do usuário do Google. O JWT contém informações
incluindo o ID, o nome e o endereço de e-mail da Conta do Google do usuário, que você pode usar
para criar uma nova conta no serviço.
Para responder a solicitações de criação de conta, seu endpoint de troca de token precisa: o seguinte:
Validate and decode the JWT assertion
You can validate and decode the JWT assertion by using a JWT-decoding library for your language. Use Google's public keys (available in JWK or PEM format) to verify the token's signature.
When decoded, the JWT assertion looks like the following example:
{ "sub": 1234567890, // The unique ID of the user's Google Account "iss": "https://accounts.google.com", // The assertion's issuer "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID "iat": 233366400, // Unix timestamp of the assertion's creation time "exp": 233370000, // Unix timestamp of the assertion's expiration time "name": "Jan Jansen", "given_name": "Jan", "family_name": "Jansen", "email": "jan@gmail.com", // If present, the user's email address "locale": "en_US" }
In addition to verifying the token's signature, verify that the assertion's issuer
(iss field) is https://accounts.google.com and that the audience (aud field)
is the client ID assigned to your Action.
Valide as informações do usuário e crie uma nova conta
Verifique se uma das condições a seguir é verdadeira:
- O ID da Conta do Google, encontrado no campo
subda declaração, está no seu banco de dados de usuários. - O endereço de e-mail na declaração corresponde a um usuário no seu banco de dados de usuários.
Se uma das condições for verdadeira, solicite que o usuário vincule a conta atual dele com
sua Conta do Google respondendo à solicitação com um erro HTTP 401, especificando
error=linking_error e o endereço de e-mail do usuário como login_hint, como no
exemplo a seguir:
HTTP/1.1 401 Unauthorized
Content-Type: application/json;charset=UTF-8
{
"error":"linking_error",
"login_hint":"foo@bar.com"
}
Se nenhuma das condições for verdadeira, crie uma nova conta de usuário usando as informações. fornecidos no JWT. Em geral, novas contas não têm uma senha definida. É recomendamos que você adicione o Login do Google a outras plataformas para permitir que os usuários façam login pelo Google em todas as plataformas do seu aplicativo. Também é possível enviar ao usuário um link por e-mail que inicie seu fluxo de recuperação de senha para permitir que ele defina uma senha para fazer login em outras plataformas.
Quando a criação for concluída, emita um token de acesso e retorna os valores em um objeto JSON o corpo da sua resposta HTTPS, como no exemplo a seguir:
{ "token_type": "Bearer", "access_token": "ACCESS_TOKEN", "expires_in": SECONDS_TO_EXPIRATION }
Iniciar o fluxo de autenticação
usar a intent do Assistente de login da conta; para iniciar o fluxo de autenticação.
const app = dialogflow({ // REPLACE THE PLACEHOLDER WITH THE CLIENT_ID OF YOUR ACTIONS PROJECT clientId: CLIENT_ID, }) // Intent that starts the account linking flow. app.intent('Start Signin', conv => { conv.ask(new SignIn('To get your account details')) })
private String clientId = "<your_client_id>"; @ForIntent("Start Signin") public ActionResponse text(ActionRequest request) { ResponseBuilder rb = getResponseBuilder(request); return rb.add(new SignIn().setContext("To get your account details")).build(); }
const app = actionssdk({ clientId: CLIENT_ID, }) app.intent('Start Signin', conv => { conv.ask(new SignIn('To get your account details')) })
private String clientId = "<your_client_id>"; @ForIntent("actions.intent.TEXT") public ActionResponse text(ActionRequest request) { ResponseBuilder rb = getResponseBuilder(request); return rb.add(new SignIn().setContext("To get your account details")).build(); }
Processar solicitações de acesso a dados
Se a solicitação do Assistente tiver um token de acesso, faça o seguinte: verifique primeiro se o token de acesso é válido e não expirou e, em seguida, recupere-o do a conta de usuário associada ao token.