Le type d'association OAuth est compatible avec deux flux OAuth 2.0 standards dans l'industrie, les flux de code implicite et autorisation.
In the implicit code flow, Google opens your authorization endpoint in the user's browser. After successful sign in, you return a long-lived access token to Google. This access token is now included in every request sent from the Assistant to your Action.
In the authorization code flow, you need two endpoints:
- The authorization endpoint, which is responsible for presenting the sign-in UI to your users that aren't already signed in and recording consent to the requested access in the form of a short-lived authorization code.
- The token exchange endpoint, which is responsible for two types of exchanges:
- Exchanges an authorization code for a long-lived refresh token and a short-lived access token. This exchange happens when the user goes through the account linking flow.
- Exchanges a long-lived refresh token for a short-lived access token. This exchange happens when Google needs a new access token because the one it had expired.
Although the implicit code flow is simpler to implement, Google recommends that access tokens issued using the implicit flow never expire, because using token expiration with the implicit flow forces the user to link their account again. If you need token expiration for security reasons, you should strongly consider using the auth code flow instead.
Implémenter l'association de compte OAuth
Configurer le projet
Pour configurer votre projet afin d'utiliser l'association OAuth, procédez comme suit:
- Ouvrez la console Actions et sélectionnez le projet que vous souhaitez utiliser.
- Cliquez sur l'onglet Développer, puis sélectionnez Association de comptes.
- Activez le bouton bascule à côté de Association de comptes.
- Dans la section Création de compte, sélectionnez Non, je souhaite uniquement autoriser la création de comptes sur mon site Web.
Dans Type d'association, sélectionnez OAuth et Implicit.
Dans Informations client:
- Attribuez une valeur au Client-ID émis par vos actions vers Google pour identifier les requêtes provenant de Google.
- Insérez les URL de vos points de terminaison Autorisation et Token Exchange.
- Cliquez sur Enregistrer.
Implémenter votre serveur OAuth
Pour prendre en charge le flux implicite OAuth 2.0, votre service accorde une autorisation un point de terminaison unique disponible via HTTPS. Ce point de terminaison est responsable de l’authentification et l'obtention du consentement des utilisateurs pour l'accès aux données. Le point de terminaison d'autorisation présente une interface utilisateur de connexion aux utilisateurs qui ne sont pas déjà connectés et enregistre autoriser l'accès demandé.
Lorsque votre action doit appeler l'une des API autorisées de votre service, Google utilise ce point de terminaison pour obtenir l'autorisation de vos utilisateurs d'appeler ces API au nom de l'utilisateur.
Une session de flux implicite OAuth 2.0 typique lancée par Google possède le flux suivant:
- Google ouvre votre point de terminaison d'autorisation dans le navigateur de l'utilisateur. La l'utilisateur se connecte s'il n'est pas déjà connecté et autorise Google à y accéder leurs données avec votre API s'ils ne l'ont pas déjà accordé.
- Votre service crée un jeton d'accès et le renvoie à Google en redirigeant le navigateur de l'utilisateur vers Google à l'aide du jeton d'accès joint à la demande.
- Google appelle les API de votre service et associe le jeton d'accès chaque requête. Votre service vérifie que le jeton d'accès accorde à Google l'autorisation d'accès à l'API, puis termine l'appel d'API.
Gérer les requêtes d'autorisation
Lorsque votre action doit associer des comptes via un flux implicite OAuth 2.0, Google renvoie l'utilisateur vers votre point de terminaison d'autorisation avec une requête qui inclut les paramètres suivants:
Paramètres du point de terminaison de l'autorisation | |
---|---|
client_id |
ID client que vous avez attribué à Google. |
redirect_uri |
URL à laquelle vous envoyez la réponse à cette requête. |
state |
Une valeur de tenue de registre renvoyée à Google telle quelle dans le l'URI de redirection. |
response_type |
Type de valeur à renvoyer dans la réponse. Pour l'authentification OAuth 2.0
le type de réponse est toujours token . |
Par exemple, si votre point de terminaison d'autorisation est disponible à l'adresse https://myservice.example.com/auth
,
une requête peut se présenter comme suit:
GET https://myservice.example.com/auth?client_id=GOOGLE_CLIENT_ID&redirect_uri=REDIRECT_URI&state=STATE_STRING&response_type=token
Pour que votre point de terminaison d'autorisation traite les requêtes de connexion, procédez comme suit:
Vérifiez les valeurs
client_id
etredirect_uri
pour pour empêcher l'octroi d'accès à des applications clientes non intentionnelles ou mal configurées:- Vérifiez que
client_id
correspond à l'ID client que vous attribué à Google. - Vérifiez que l'URL spécifiée par
redirect_uri
a la forme suivante:https://oauth-redirect.googleusercontent.com/r/YOUR_PROJECT_ID
YOUR_PROJECT_ID est l'ID indiqué sur la page Paramètres du projet. de la console Actions.
- Vérifiez que
Vérifiez si l'utilisateur est connecté à votre service. Si l'utilisateur n'est pas signé suivez la procédure de connexion ou d'inscription de votre service.
Générez un jeton d'accès que Google utilisera pour accéder à votre API. La Le jeton d'accès peut correspondre à n'importe quelle valeur de chaîne, mais il doit représenter de manière unique le user et le client pour lequel le jeton est destiné et ne doit pas être devinable.
Envoyer une réponse HTTP qui redirige le navigateur de l'utilisateur vers l'URL spécifiée par le paramètre
redirect_uri
. Incluez tous les les paramètres suivants dans le fragment d'URL:access_token
: jeton d'accès que vous venez de générertoken_type
: chaînebearer
state
: valeur de l'état non modifié de l'original demander Voici un exemple de l'URL obtenue:https://oauth-redirect.googleusercontent.com/r/YOUR_PROJECT_ID#access_token=ACCESS_TOKEN&token_type=bearer&state=STATE_STRING
Le gestionnaire de redirection OAuth 2.0 de Google recevra le jeton d'accès et confirmera
que la valeur state
n'a pas changé. Une fois que Google a obtenu
pour votre service, Google l'associe aux appels suivants
à votre action dans le cadre de AppRequest.
Concevoir l'interface utilisateur vocale pour le flux d'authentification
Vérifier si l'utilisateur est validé et démarrer le flux d'association de compte
- Ouvrez votre projet Actions Builder dans la console Actions.
- Créez une scène pour lancer l'association de comptes dans votre action :
- Cliquez sur Scenes (Scènes).
- Cliquez sur l'icône d'ajout (+) pour ajouter une scène.
- Dans la scène que vous venez de créer, cliquez sur l'icône d'ajout add pour Conditions.
- Ajoutez une condition qui vérifie si l'utilisateur associé à la conversation est un utilisateur validé. Si la vérification échoue, votre action ne peut pas associer de compte pendant la conversation. Elle doit alors fournir l'accès à des fonctionnalités qui ne nécessitent pas d'association de compte.
- Dans le champ
Enter new expression
, sous Condition, saisissez la logique suivante :user.verificationStatus != "VERIFIED"
- Sous Transition, sélectionnez une scène ne nécessitant pas d'association de compte ou une scène qui est le point d'entrée de la fonctionnalité Invité.
- Dans le champ
- Cliquez sur l'icône d'ajout add pour Conditions.
- Ajoutez une condition pour déclencher un flux d'association de compte si l'utilisateur n'est associé à aucune identité.
- Dans le champ
Enter new expression
, sous Condition, saisissez la logique suivante :user.verificationStatus == "VERIFIED"
- Sous Transition, sélectionnez la scène système Association de comptes.
- Cliquez sur Enregistrer.
- Dans le champ
Après l'enregistrement, une nouvelle scène système d'association de comptes appelée <SceneName>_AccountLinking
est ajoutée à votre projet.
Personnaliser la scène de l'association de comptes
- Sous Scenes (Scènes), sélectionnez la scène du système d'association de comptes.
- Cliquez sur Envoyer une invite et ajoutez une courte phrase pour expliquer à l'utilisateur pourquoi l'action doit accéder à son identité (par exemple, "Enregistrer vos préférences").
- Cliquez sur Enregistrer.
- Sous Conditions, cliquez sur Si l'utilisateur a correctement associé ses comptes.
- Configurez le déroulement du flux si l'utilisateur accepte d'associer son compte. Par exemple, appelez le webhook pour traiter toute logique métier personnalisée requise et revenir à la scène d'origine.
- Cliquez sur Enregistrer.
- Sous Conditions, cliquez sur Si l'utilisateur annule ou ignore l'association de comptes.
- Configurez le déroulement du flux si l'utilisateur n'accepte pas d'associer son compte. Par exemple, envoyez un message de confirmation et redirigez vers des scènes qui fournissent des fonctionnalités qui ne nécessitent pas d'association de compte.
- Cliquez sur Enregistrer.
- Sous Conditions, cliquez sur Si une erreur système ou réseau se produit.
- Configurez la manière dont le flux doit se dérouler si le flux d'association de comptes ne peut pas être terminé en raison d'erreurs système ou réseau. Par exemple, envoyez un message de confirmation et redirigez vers des scènes qui fournissent des fonctionnalités qui ne nécessitent pas d'association de compte.
- Cliquez sur Enregistrer.
Gérer les demandes d'accès aux données
Si la requête de l'Assistant contient un jeton d'accès, vérifiez d'abord que le jeton est valide (et qu'il n'a pas expiré), puis récupérez le compte utilisateur associé dans votre base de données.