OAuth tabanlı Google ile Oturum Açma ile hesap bağlama "Basitleştirilmiş" bağlantı oluşturma

OAuth tabanlı Google ile oturum açma "Basitleştirilmiş" bağlama türü, OAuth tabanlı hesap bağlamanın üzerine Google ile oturum açma özelliğini ekler. Bu, Google kullanıcıları için sorunsuz ses tabanlı bağlantı sağlarken Google dışı bir kimlikle hizmetinize kaydolan kullanıcılar için de hesap bağlantısını etkinleştirir.

Bu bağlantı türü, kullanıcının Google profil bilgilerinin sisteminizde olup olmadığını kontrol etmenize olanak tanıyan Google ile oturum açma işlemiyle başlar. Kullanıcının bilgileri sisteminizde bulunamazsa standart bir OAuth akışı başlar. Kullanıcı, Google profili bilgilerini kullanarak yeni bir hesap oluşturmayı da seçebilir.

Hesap bağlama işlemini basitleştirilmiş bağlama türüyle gerçekleştirmek için şu genel adımları uygulayın:

1. Öncelikle kullanıcıdan Google profiline erişim izni vermesini isteyin.
2. Kullanıcıyı tanımlamak için profilindeki bilgileri kullanın.
3. Kimlik doğrulama sisteminizde Google kullanıcısıyla eşleşen bir kullanıcı bulamazsanız akış, İşlemler projenizi İşlemler konsolunda kullanıcı hesabı oluşturmaya sesli olarak veya yalnızca web sitenizde izin verecek şekilde yapılandırıp yapılandırmadığınıza bağlı olarak devam eder.
   • Sesle hesap oluşturmaya izin veriyorsanız Google'dan alınan kimlik jetonunu doğrulayın. Ardından, kimlik jetonunda bulunan profil bilgilerine göre bir kullanıcı oluşturabilirsiniz.
   • Sesle hesap oluşturmaya izin vermiyorsanız kullanıcı, yetkilendirme sayfanızı yükleyip kullanıcı oluşturma akışını tamamlayabileceği bir tarayıcıya aktarılır.

Sesli olarak hesap oluşturmayı destekleme

Kullanıcı hesabı oluşturma işleminin sesle yapılmasına izin verirseniz Asistan, kullanıcıya aşağıdakileri yapmak isteyip istemediğini sorar:

• Google Hesabı bilgilerini kullanarak sisteminizde yeni bir hesap oluşturun veya
• Mevcut bir Google dışı hesapları varsa kimlik doğrulama sisteminizde farklı bir hesapla oturum açabilirler.

Hesap oluşturma akışındaki zorlukları en aza indirmek istiyorsanız sesle hesap oluşturmaya izin vermeniz önerilir. Kullanıcının, Google dışı mevcut bir hesabı kullanarak oturum açmak istemesi durumunda sesli akıştan çıkması yeterlidir.

Sesle hesap oluşturmaya izin verme

Kullanıcı hesabı oluşturma işleminin sesle yapılmasını engellediyseniz Asistan, kullanıcı kimlik doğrulaması için sağladığınız web sitesinin URL'sini açar. Etkileşim, ekranı olmayan bir cihazda gerçekleşiyorsa Asistan, hesap bağlama akışına devam etmesi için kullanıcıyı telefona yönlendirir.

Aşağıdaki durumlarda oluşturmanın devre dışı bırakılması önerilir:

• Google Hesabı olmayan kullanıcıların yeni bir kullanıcı hesabı oluşturmasına izin vermek istemiyorsanız ve bunun yerine kimlik doğrulama sisteminizdeki mevcut kullanıcı hesaplarına bağlanmalarını istiyorsanız. Örneğin, bir bağlılık programı sunuyorsanız kullanıcının mevcut hesabında biriken puanları kaybetmediğinden emin olmak isteyebilirsiniz.

• Hesap oluşturma akışını tam olarak kontrol etmeniz gerekir. Örneğin, hesap oluşturma sırasında hizmet şartlarınızı kullanıcıya göstermeniz gerekiyorsa oluşturmaya izin vermeyebilirsiniz.

OAuth tabanlı Google ile Oturum Açma "Basitleştirilmiş" bağlama özelliğini uygulama

Hesaplar, endüstri standardı OAuth 2.0 akışlarıyla bağlanır. Actions on Google, örtülü ve yetkilendirme kodu akışlarını destekler.

In the implicit code flow, Google opens your authorization endpoint in the user's browser. After successful sign in, you return a long-lived access token to Google. This access token is now included in every request sent from the Assistant to your Action.

In the authorization code flow, you need two endpoints:

• The authorization endpoint, which is responsible for presenting the sign-in UI to your users that aren't already signed in and recording consent to the requested access in the form of a short-lived authorization code.
• The token exchange endpoint, which is responsible for two types of exchanges:
  1. Exchanges an authorization code for a long-lived refresh token and a short-lived access token. This exchange happens when the user goes through the account linking flow.
  2. Exchanges a long-lived refresh token for a short-lived access token. This exchange happens when Google needs a new access token because the one it had expired.

Although the implicit code flow is simpler to implement, Google recommends that access tokens issued using the implicit flow never expire, because using token expiration with the implicit flow forces the user to link their account again. If you need token expiration for security reasons, you should strongly consider using the auth code flow instead.

Projeyi yapılandırma

Projenizi basitleştirilmiş bağlantıyı kullanacak şekilde yapılandırmak için aşağıdaki adımları uygulayın:

1. Actions Console'u açın ve kullanmak istediğiniz projeyi seçin.
2. Geliştir sekmesini tıklayın ve Hesap bağlama'yı seçin.
3. Hesap bağlama'nın yanındaki anahtarı etkinleştirin.
4. Hesap oluşturma bölümünde Evet'i seçin.

5. Bağlantı türü bölümünde OAuth ve Google ile oturum açma ile Dolaylı'yı seçin.

   

6. Müşteri Bilgileri bölümünde aşağıdakileri yapın:

   • Google'dan gelen istekleri tanımlamak için Google'a yönelik İşlemleriniz tarafından verilen istemci kimliği özelliğine bir değer atayın.
   • Yetkilendirme ve Jeton Değişimi uç noktalarınızın URL'lerini ekleyin.

7. Kaydet'i tıklayın.

OAuth sunucunuzu uygulama

OAuth 2.0 örtülü akışını desteklemek için hizmetiniz bir yetkilendirme yapar uç nokta ile kullanılabilir. Bu uç nokta, kimlik doğrulama ve güvenlikten ve verilere erişim için kullanıcılardan izin alınması gerekir. Yetkilendirme uç noktası Henüz oturum açmamış kullanıcılarınıza bir oturum açma kullanıcı arayüzü sunar ve istenen erişim için izin verin.

İşleminizin, hizmetinizin yetkili API'lerinden birini çağırması gerektiğinde Google, API'leri kendi cihazlarında çağırmak için bu uç noktayı anlamına gelir.

Google tarafından başlatılan tipik bir OAuth 2.0 örtülü akış oturumunda, takip eden akış:

1. Google, yetkilendirme uç noktanızı kullanıcının tarayıcısında açar. İlgili içeriği oluşturmak için kullanılan kullanıcı oturum açmış değilse oturum açar ve Google'a erişim için izin verir izin vermedilerse verilerini API'nizle birlikte göndermelerini isteyin.
2. Hizmetiniz bir erişim jetonu oluşturur ve bu jetonu Kullanıcının tarayıcısını erişim jetonuyla tekrar Google'a yönlendirerek Google ekleyebilirsiniz.
3. Google, hizmetinizin API'lerini çağırır ve erişim jetonunu dikkat edin. Hizmetiniz, erişim jetonunun Google'a ve ardından API çağrısını tamamlar.

Yetkilendirme isteklerini işleme

İşleminizin OAuth 2.0 örtülü akışı üzerinden hesap bağlama yapması gerektiğinde Google, kullanıcıyı yetkilendirme uç noktanıza şunu içeren bir istekle gönderir: şu parametrelere sahip olursunuz:

Örneğin, yetkilendirme uç noktanız https://myservice.example.com/auth üzerinde mevcutsa, talep şu şekilde görünebilir:

GET https://myservice.example.com/auth?client_id=GOOGLE_CLIENT_ID&redirect_uri=REDIRECT_URI&state=STATE_STRING&response_type=token

Yetkilendirme uç noktanızın oturum açma isteklerini işlemesi için aşağıdaki adımları uygulayın:

1. Aşağıdaki işlemler için client_id ve redirect_uri değerlerini doğrulayın: istenmeyen veya yanlış yapılandırılmış istemci uygulamalarına erişim verilmesini önleyin:

   • client_id değerinin, kullandığınız istemci kimliğiyle eşleştiğini doğrulayın Google'a atanmıştır.
   • redirect_uri tarafından belirtilen URL'yi doğrulayın parametresi aşağıdaki biçimdedir:

     https://oauth-redirect.googleusercontent.com/r/YOUR_PROJECT_ID

     YOUR_PROJECT_ID, Proje ayarları sayfasında bulunan kimliktir bölümünü içerir.

2. Kullanıcının hizmetinizde oturum açıp açmadığını kontrol edin. Kullanıcı oturum açmamışsa hizmetinizin oturum açma veya kaydolma akışını tamamlayın.

3. Google'ın API'nize erişmek için kullanacağı bir erişim jetonu oluşturun. İlgili içeriği oluşturmak için kullanılan erişim jetonu herhangi bir dize değeri olabilir, ancak jetonun ait olduğu ve tahmin edilememesi gerekir.

4. Kullanıcının tarayıcısını URL'ye yönlendiren bir HTTP yanıtı gönderme redirect_uri parametresiyle belirtilir. Aşağıdakilerin tümünü dahil edin: aşağıdaki parametreleri kullanabilirsiniz:

   • access_token: Az önce oluşturduğunuz erişim jetonu
   • token_type: bearer dizesi
   • state: Orijinal durumdaki değiştirilmemiş durum değeri istek Sonuçta elde edilen URL'nin bir örneği aşağıda verilmiştir:

     https://oauth-redirect.googleusercontent.com/r/YOUR_PROJECT_ID#access_token=ACCESS_TOKEN&token_type=bearer&state=STATE_STRING

Google'ın OAuth 2.0 yönlendirme işleyicisi, erişim jetonunu alır ve onay verir state değerinin değişmediğinden emin olun. Google, erişim jetonunuz varsa Google, jetonu sonraki çağrılara ekler AppRequest'in bir parçası olarak İşleminize ekleyin.

Handle automatic linking

After the user gives your Action consent to access their Google profile, Google sends a request that contains a signed assertion of the Google user's identity. The assertion contains information that includes the user's Google Account ID, name, and email address. The token exchange endpoint configured for your project handles that request.

If the corresponding Google account is already present in your authentication system, your token exchange endpoint returns a token for the user. If the Google account doesn't match an existing user, your token exchange endpoint returns a user_not_found error.

The request has the following form:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&intent=get&assertion=JWT&consent_code=CONSENT_CODE&scope=SCOPES

Your token exchange endpoint must be able to handle the following parameters:

When your token exchange endpoint receives the linking request, it should do the following:

Validate and decode the JWT assertion

You can validate and decode the JWT assertion by using a JWT-decoding library for your language. Use Google's public keys (available in JWK or PEM format) to verify the token's signature.

When decoded, the JWT assertion looks like the following example:

{
  "sub": 1234567890,        // The unique ID of the user's Google Account
  "iss": "https://accounts.google.com",        // The assertion's issuer
  "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID
  "iat": 233366400,         // Unix timestamp of the assertion's creation time
  "exp": 233370000,         // Unix timestamp of the assertion's expiration time
  "name": "Jan Jansen",
  "given_name": "Jan",
  "family_name": "Jansen",
  "email": "jan@gmail.com", // If present, the user's email address
  "locale": "en_US"
}

In addition to verifying the token's signature, verify that the assertion's issuer (iss field) is https://accounts.google.com and that the audience (aud field) is the client ID assigned to your Action.

Check if the Google account is already present in your authentication system

Check whether either of the following conditions are true:

• The Google Account ID, found in the assertion's sub field, is in your user database.
• The email address in the assertion matches a user in your user database.

If either condition is true, the user has already signed up and you can issue an access token.

If neither the Google Account ID nor the email address specified in the assertion matches a user in your database, the user hasn't signed up yet. In this case, your token exchange endpoint should reply with a HTTP 401 error, that specifies error=user_not_found, as in the following example:

HTTP/1.1 401 Unauthorized
Content-Type: application/json;charset=UTF-8

{
  "error":"user_not_found",
}

Handle account creation via Google Sign-In

When a user needs to create an account on your service, Google makes a request to your token exchange endpoint that specifies intent=create, as in the following example:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

response_type=token&grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&scope=SCOPES&intent=create&consent_code=CONSENT_CODE&assertion=JWT[&NEW_ACCOUNT_INFO]

The assertion parameter contains A JSON Web Token (JWT) that provides a signed assertion of the Google user's identity. The JWT contains information that includes the user's Google Account ID, name, and email address, which you can use to create a new account on your service.

To respond to account creation requests, your token exchange endpoint must do the following:

Validate and decode the JWT assertion

You can validate and decode the JWT assertion by using a JWT-decoding library for your language. Use Google's public keys (available in JWK or PEM format) to verify the token's signature.

When decoded, the JWT assertion looks like the following example:

{
  "sub": 1234567890,        // The unique ID of the user's Google Account
  "iss": "https://accounts.google.com",        // The assertion's issuer
  "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID
  "iat": 233366400,         // Unix timestamp of the assertion's creation time
  "exp": 233370000,         // Unix timestamp of the assertion's expiration time
  "name": "Jan Jansen",
  "given_name": "Jan",
  "family_name": "Jansen",
  "email": "jan@gmail.com", // If present, the user's email address
  "locale": "en_US"
}

In addition to verifying the token's signature, verify that the assertion's issuer (iss field) is https://accounts.google.com and that the audience (aud field) is the client ID assigned to your Action.

Validate user information and create new account

Check whether either of the following conditions are true:

• The Google Account ID, found in the assertion's sub field, is in your user database.
• The email address in the assertion matches a user in your user database.

If either condition is true, prompt the user to link their existing account with their Google Account by responding to the request with an HTTP 401 error, specifying error=linking_error and the user's email address as the login_hint, as in the following example:

HTTP/1.1 401 Unauthorized
Content-Type: application/json;charset=UTF-8

{
  "error":"linking_error",
  "login_hint":"foo@bar.com"
}

If neither condition is true, create a new user account using the information provided in the JWT. New accounts do not typically have a password set. It is recommended that you add Google Sign In to other platforms to enable users to log in via Google across the surfaces of your application. Alternatively, you can email the user a link that starts your password recovery flow to allow the user to set a password for signing in on other platforms.

When the creation is completed, issue an access token and return the values in a JSON object in the body of your HTTPS response, like in the following example:

{
  "token_type": "Bearer",
  "access_token": "ACCESS_TOKEN",
  
  "expires_in": SECONDS_TO_EXPIRATION
}

Kimlik doğrulama akışı için sesli kullanıcı arayüzünü tasarlama

Kullanıcının doğrulanıp doğrulanmadığını kontrol edin ve hesap bağlama akışını başlatın.

1. Actions Builder projenizi Actions Console'da açın.
2. İşleminizde hesap bağlama işlemini başlatmak için yeni bir sahne oluşturun:
   1. Sahneler'i tıklayın.
   2. Yeni bir sahne eklemek için ekle (+) simgesini tıklayın.
3. Yeni oluşturulan sahnede, Koşullar için ekle simgesini add tıklayın.
4. Sohbetle ilişkili kullanıcının doğrulanmış bir kullanıcı olup olmadığını kontrol eden bir koşul ekleyin. Kontrol başarısız olursa İşleminiz, görüşme sırasında hesap bağlama işlemini gerçekleştiremez ve hesap bağlama gerektirmeyen işlevlere erişim sağlamaya geri dönmelidir.
   1. Koşul bölümündeki Enter new expression alanına aşağıdaki mantığı girin: user.verificationStatus != "VERIFIED"
   2. Geçiş bölümünde, hesap bağlama gerektirmeyen veya yalnızca konuklara özel işlevlerin giriş noktası olan bir sahne seçin.

1. Koşullar için ekle simgesini add tıklayın.
2. Kullanıcının ilişkili bir kimliği yoksa hesap bağlama akışını tetikleyecek bir koşul ekleyin.
   1. Koşul bölümündeki Enter new expression alanına aşağıdaki mantığı girin: user.verificationStatus == "VERIFIED"
   2. Geçiş bölümünde Hesap Bağlama sistem sahnesini seçin.
   3. Kaydet'i tıklayın.

Kaydettikten sonra projenize <SceneName>_AccountLinking adlı yeni bir hesap bağlama sistemi sahnesi eklenir.

Hesap bağlama sahnesini özelleştirme

1. Sahneler bölümünde hesap bağlama sistemi sahnesini seçin.
2. İstemi gönder'i tıklayın ve kullanıcıya İşlem'in kimliğine neden erişmesi gerektiğini açıklayan kısa bir cümle ekleyin (örneğin, "Tercihlerinizi kaydetmek için").
3. Kaydet'i tıklayın.

1. Koşullar bölümünde Kullanıcı hesap bağlama işlemini başarıyla tamamlarsa'yı tıklayın.
2. Kullanıcı hesabını bağlamayı kabul ederse akışın nasıl devam edeceğini yapılandırın. Örneğin, gerekli özel işletme mantığını işlemek ve başlangıç sahnesine geri dönmek için webhook'u çağırın.
3. Kaydet'i tıklayın.

1. Koşullar bölümünde Kullanıcı hesap bağlantısını iptal ederse veya kapatırsa'yı tıklayın.
2. Kullanıcı hesabını bağlamayı kabul etmezse akışın nasıl devam edeceğini yapılandırın. Örneğin, onay mesajı gönderin ve hesap bağlama gerektirmeyen işlevler sunan sahnelere yönlendirin.
3. Kaydet'i tıklayın.

1. Koşullar bölümünde Sistem veya ağ hatası oluşursa'yı tıklayın.
2. Hesap bağlama akışı, sistem veya ağ hataları nedeniyle tamamlanamazsa akışın nasıl devam edeceğini yapılandırın. Örneğin, onay mesajı gönderin ve hesap bağlama gerektirmeyen işlevler sunan sahnelere yönlendirin.
3. Kaydet'i tıklayın.

Veri erişimi isteklerini ele alma

Asistan isteği erişim jetonu içeriyorsa, önce erişim jetonunun geçerli ve süresinin dolmadığını kontrol edin, ardından jetonla ilişkili kullanıcı hesabını kullanıcı hesabı veritabanınızdan alın.