Vinculación de Cuentas de Google con OAuth

Las cuentas se vinculan con los flujos implícitos y de código de autorización de OAuth 2.0 estándar de la industria. Tu servicio debe admitir extremos de autorización y de intercambio de tokens que cumplan con OAuth 2.0.

In the implicit flow, Google opens your authorization endpoint in the user's browser. After successful sign in, you return a long-lived access token to Google. This access token is now included in every request sent from Google.

In the authorization code flow, you need two endpoints:

• The authorization endpoint, which presents the sign-in UI to your users that aren't already signed in. The authorization endpoint also creates a short-lived authorization code to record users' consent to the requested access.

• The token exchange endpoint, which is responsible for two types of exchanges:

  1. Exchanges an authorization code for a long-lived refresh token and a short-lived access token. This exchange happens when the user goes through the account linking flow.
  2. Exchanges a long-lived refresh token for a short-lived access token. This exchange happens when Google needs a new access token because the one it had expired.

Choose an OAuth 2.0 flow

Although the implicit flow is simpler to implement, Google recommends that access tokens issued by the implicit flow never expire. This is because the user is forced to link their account again after a token expires with the implicit flow. If you need token expiration for security reasons, we strongly recommend that you use the authorization code flow instead.

Design guidelines

This section describes the design requirements and recommendations for the user screen that you host for OAuth linking flows. After it's called by Google's app, your platform displays a sign in to Google page and account linking consent screen to the user. The user is directed back to Google's app after giving their consent to link accounts.

Requirements

1. You must communicate that the user’s account will be linked to Google, not a specific Google product like Google Home or Google Assistant.

Recommendations

We recommend that you do the following:

1. Display Google's Privacy Policy. Include a link to Google’s Privacy Policy on the consent screen.

2. Data to be shared. Use clear and concise language to tell the user what data of theirs Google requires and why.

3. Clear call-to-action. State a clear call-to-action on your consent screen, such as “Agree and link.” This is because users need to understand what data they're required to share with Google to link their accounts.

4. Ability to cancel. Provide a way for users to go back or cancel, if they choose not to link.

5. Clear sign-in process. Ensure that users have clear method for signing in to their Google account, such as fields for their username and password or Sign in with Google.

6. Ability to unlink. Offer a mechanism for users to unlink, such as a URL to their account settings on your platform. Alternatively, you can include a link to Google Account where users can manage their linked account.

7. Ability to change user account. Suggest a method for users to switch their account(s). This is especially beneficial if users tend to have multiple accounts.

   • If a user must close the consent screen to switch accounts, send a recoverable error to Google so the user can sign in to the desired account with OAuth linking and the implicit flow.

8. Include your logo. Display your company logo on the consent screen. Use your style guidelines to place your logo. If you wish to also display Google's logo, see Logos and trademarks.

Crea el proyecto

Sigue estos pasos para crear tu proyecto y usar la vinculación de cuentas:

1. Go to the Google API Console.
2. Haz clic en Crear proyecto .
3. Ingrese un nombre o acepte la sugerencia generada.
4. Confirme o edite los campos restantes.
5. Haz clic en Crear .

Para ver su ID de proyecto:

1. Go to the Google API Console.
2. Encuentra tu proyecto en la tabla de la página de inicio. El ID del proyecto aparece en la columna ID .

Configura la pantalla de consentimiento de OAuth

El proceso de vinculación de Cuentas de Google incluye una pantalla de consentimiento en la que se les indica a los usuarios la aplicación que solicita acceso a sus datos, el tipo de datos que solicita y las condiciones que se aplican. Deberás configurar tu pantalla de consentimiento de OAuth antes de generar un ID de cliente de la API de Google.

1. Abre la página Pantalla de consentimiento de OAuth de la consola de APIs de Google.
2. Si se te solicita, selecciona el proyecto que acabas de crear.

3. En la página "Pantalla de consentimiento de OAuth", completa el formulario y haz clic en el botón "Guardar".

   Nombre de la aplicación: Es el nombre de la aplicación que solicita el consentimiento. El nombre debe reflejar tu aplicación con exactitud y ser coherente con el nombre que los usuarios ven en cualquier otro lugar. El nombre de la aplicación aparecerá en la pantalla de consentimiento de la vinculación de cuentas.

   Logotipo de la aplicación: Es una imagen en la pantalla de consentimiento que ayudará a los usuarios a reconocer tu app. El logotipo se muestra en la pantalla de consentimiento de vinculación de cuentas y en la configuración de la cuenta.

   Correo electrónico de asistencia: Para que los usuarios se comuniquen contigo si tienen preguntas sobre su consentimiento.

   Permisos de las APIs de Google: Los permisos permiten que tu aplicación acceda a los datos privados de Google de tus usuarios. Para el caso de uso de la vinculación de Cuentas de Google, el permiso predeterminado (correo electrónico, perfil, openid) es suficiente. No es necesario agregar ningún permiso sensible. Por lo general, se recomienda solicitar permisos de forma incremental, en el momento en que se requiere el acceso, en lugar de hacerlo de antemano. Obtén más información.

   Dominios autorizados: Para protegerte a ti y a tus usuarios, Google solo permite que las aplicaciones que se autentican con OAuth usen dominios autorizados. Los vínculos de tus aplicaciones deben alojarse en dominios autorizados. Obtén más información.

   Vínculo a la página principal de la aplicación: Es la página principal de tu aplicación. Debe alojarse en un dominio autorizado.

   Vínculo a la Política de Privacidad de la aplicación: Se muestra en la pantalla de consentimiento de vinculación de Cuentas de Google. Debe alojarse en un dominio autorizado.

   Vínculo a las Condiciones del Servicio de la aplicación (opcional): Debe estar alojado en un dominio autorizado.

   

   Figura 1. Pantalla de consentimiento de vinculación de Cuentas de Google para una aplicación ficticia, Tunery

4. Revisa el “Estado de verificación”. Si tu solicitud necesita verificación, haz clic en el botón “Enviar para verificación”. Consulta los requisitos de verificación de OAuth para obtener más información.

Implementa tu servidor de OAuth

Para admitir el flujo implícito de OAuth 2.0, tu servicio hace una autorización de destino disponible a través de HTTPS. Este extremo es responsable de la autenticación y obtener el consentimiento de los usuarios para acceder a los datos. El extremo de autorización presenta una IU de acceso a los usuarios que aún no accedieron y registra el acceso solicitado.

Cuando una aplicación de Google necesita llamar a una de las APIs autorizadas de tu servicio Google usa este extremo a fin de obtener permiso de los usuarios para llamar a estas APIs por ellos.

Una sesión típica de flujo implícito de OAuth 2.0 que inicia Google tiene la siguiente flujo:

1. Google abre el extremo de autorización en el navegador del usuario. El usuario accede a la cuenta, si aún no lo hizo, y le otorga permiso a Google para acceder a sus datos con tu API, si aún no han otorgado permiso.
2. Tu servicio crea un token de acceso y lo devuelve a Google. Para ello, vuelve a redireccionar el navegador del usuario a Google con el permiso de acceso. token asociado a la solicitud.
3. Google llama a las APIs de tu servicio y adjunta el token de acceso con cada solicitud. Tu servicio verifica que el token de acceso otorgue a Google autorización para acceder a la API y, luego, completa la llamada a la API.

Maneja solicitudes de autorización

Cuando una aplicación de Google necesita vincular cuentas mediante OAuth 2.0 implícito, Google envía al usuario a tu extremo de autorización con un que incluya los siguientes parámetros:

Por ejemplo, si tu extremo de autorización está disponible en https://myservice.example.com/auth, una solicitud podría verse de la siguiente manera:

GET https://myservice.example.com/auth?client_id=GOOGLE_CLIENT_ID&redirect_uri=REDIRECT_URI&state=STATE_STRING&response_type=token&user_locale=LOCALE

Para que tu extremo de autorización controle las solicitudes de acceso, haz lo siguiente pasos:

1. Verifica los valores client_id y redirect_uri para evita que se otorgue acceso a apps cliente no deseadas o configuradas incorrectamente:

   • Confirma que client_id coincida con el ID de cliente que asignados a Google.
   • Confirma que la URL especificada por redirect_uri tiene la siguiente forma:

     https://oauth-redirect.googleusercontent.com/r/YOUR_PROJECT_ID
     https://oauth-redirect-sandbox.googleusercontent.com/r/YOUR_PROJECT_ID
     

2. Verifica si el usuario accedió a tu servicio. Si el usuario no está firmado completa el flujo de acceso o registro del servicio.

3. Genera un token de acceso para que Google acceda a tu API. El el token de acceso puede ser cualquier valor de cadena, pero debe representar de forma única usuario y cliente para el que es el token y no se debe poder adivinar.

4. Envía una respuesta HTTP que redirecciona el navegador del usuario a la URL especificadas por el parámetro redirect_uri. Incluye todos los siguientes parámetros en el fragmento de URL:

   • access_token: El token de acceso que acabas de generar
   • token_type: Es la cadena bearer.
   • state: Es el valor de estado sin modificar del original. solicitud

   El siguiente es un ejemplo de la URL resultante:

   https://oauth-redirect.googleusercontent.com/r/YOUR_PROJECT_ID#access_token=ACCESS_TOKEN&token_type=bearer&state=STATE_STRING

El controlador de redireccionamiento de OAuth 2.0 de Google recibe el token de acceso y confirma que el valor de state no haya cambiado. Después de que Google obtiene una token de acceso para tu servicio, Google lo conectará a las llamadas posteriores a tus APIs de servicio.

Controla las solicitudes userinfo

El extremo userinfo es un recurso protegido de OAuth 2.0 que muestra reclamos sobre el usuario vinculado. La implementación y el alojamiento del extremo userinfo son opcionales, excepto en los siguientes casos de uso:

• Acceso a la cuenta vinculada con Google One Tap.
• Suscripción sin inconvenientes en Android TV.

Una vez que el token de acceso se recupera correctamente del extremo del token, Google envía una solicitud al extremo userinfo para recuperar la información básica de perfil del usuario vinculado.

Por ejemplo, si el extremo userinfo está disponible en https://myservice.example.com/userinfo, una solicitud podría verse de la siguiente manera:

GET /userinfo HTTP/1.1
Host: myservice.example.com
Authorization: Bearer ACCESS_TOKEN

Para que tu extremo userinfo controle las solicitudes, sigue estos pasos:

1. Extrae el token de acceso del encabezado de autorización y muestra la información del usuario asociada con el token de acceso.
2. Si el token de acceso no es válido, muestra un error HTTP 401 No autorizado con el encabezado de respuesta WWW-Authenticate. A continuación, se muestra un ejemplo de una respuesta de error de userinfo:

   HTTP/1.1 401 Unauthorized
   WWW-Authenticate: error="invalid_token",
   error_description="The Access Token expired"
   

   Si se muestra una respuesta de error 401 No autorizado o cualquier otra respuesta de error no exitosa durante el proceso de vinculación, el error no se podrá recuperar, el token recuperado se descartará y el usuario deberá volver a iniciar el proceso de vinculación.

3. Si el token de acceso es válido, devuelve una respuesta HTTP 200 con el siguiente objeto JSON en el cuerpo del protocolo HTTPS respuesta:

   {
   "sub": "USER_UUID",
   "email": "EMAIL_ADDRESS",
   "given_name": "FIRST_NAME",
   "family_name": "LAST_NAME",
   "name": "FULL_NAME",
   "picture": "PROFILE_PICTURE",
   }
   

   Si el extremo userinfo muestra una respuesta exitosa HTTP 200, el token y las reclamaciones recuperados se registran con la Cuenta de Google del usuario.

   respuesta del extremo userinfo
   sub	Un ID único que identifica al usuario en tu sistema.
   email	Dirección de correo electrónico del usuario.
   given_name	Opcional: Es el nombre del usuario.
   family_name	Opcional: Apellido del usuario.
   name	Opcional: Es el nombre completo del usuario.
   picture	Opcional: Foto de perfil del usuario.

Cómo validar la implementación

Puedes validar tu implementación con la herramienta OAuth 2.0 Playground.

En la herramienta, sigue estos pasos:

1. Haz clic en Configuración settings para abrir la ventana de configuración de OAuth 2.0.
2. En el campo Flujo de OAuth, selecciona Del cliente.
3. En el campo Extremos de OAuth, selecciona Personalizado.
4. Especifica tu extremo de OAuth 2.0 y el ID de cliente que le asignaste a Google en los campos correspondientes.
5. En la sección Paso 1, no selecciones ningún alcance de Google. En su lugar, deja este campo en blanco o escribe un alcance válido para tu servidor (o una cadena arbitraria si no usas permisos de OAuth). Cuando termines, haz clic en Autorizar APIs.
6. En las secciones Paso 2 y Paso 3, revisa el flujo de OAuth 2.0 y verifica que cada paso funcione según lo previsto.

Puedes validar tu implementación con la herramienta de demostración de vinculación de Cuentas de Google.

En la herramienta, sigue estos pasos:

1. Haz clic en el botón Acceder con Google.
2. Elige la cuenta que quieres vincular.
3. Ingresa el ID del servicio.
4. De forma opcional, ingresa uno o más permisos para los que solicitarás acceso.
5. Haz clic en Iniciar demostración.
6. Cuando se te solicite, confirma que puedes dar tu consentimiento y rechazar la solicitud de vinculación.
7. Confirma que se te redireccionó a tu plataforma.