Penautan Akun Google dengan OAuth

Akun ditautkan menggunakan standar industri OAuth 2.0 implisit dan aliran kode otorisasi . Layanan Anda harus mendukung otorisasi yang sesuai dengan OAuth 2.0 dan titik akhir pertukaran token .

In the implicit flow, Google opens your authorization endpoint in the user's browser. After successful sign in, you return a long-lived access token to Google. This access token is now included in every request sent from Google.

In the authorization code flow, you need two endpoints:

  • The authorization endpoint, which presents the sign-in UI to your users that aren't already signed in. The authorization endpoint also creates a short-lived authorization code to record users' consent to the requested access.

  • The token exchange endpoint, which is responsible for two types of exchanges:

    1. Exchanges an authorization code for a long-lived refresh token and a short-lived access token. This exchange happens when the user goes through the account linking flow.
    2. Exchanges a long-lived refresh token for a short-lived access token. This exchange happens when Google needs a new access token because the one it had expired.

Choose an OAuth 2.0 flow

Although the implicit flow is simpler to implement, Google recommends that access tokens issued by the implicit flow never expire. This is because the user is forced to link their account again after a token expires with the implicit flow. If you need token expiration for security reasons, we strongly recommend that you use the authorization code flow instead.

Design guidelines

This section describes the design requirements and recommendations for the user screen that you host for OAuth linking flows. After it's called by Google's app, your platform displays a sign in to Google page and account linking consent screen to the user. The user is directed back to Google's app after giving their consent to link accounts.

This figure shows the steps for a user to link their Google account
            to your authentication system. The first screenshot shows
            user-initiated linking from your platform. The second image shows
            user sign-in to Google, while the third shows the user consent and
            confirmation for linking their Google account with your app. The
            final screenshot shows a successfully linked user account in the
            Google app.
Figure 1. Account linking user sign in to Google and consent screens.

Requirements

  1. You must communicate that the user’s account will be linked to Google, not a specific Google product like Google Home or Google Assistant.

Recommendations

We recommend that you do the following:

  1. Display Google's Privacy Policy. Include a link to Google’s Privacy Policy on the consent screen.

  2. Data to be shared. Use clear and concise language to tell the user what data of theirs Google requires and why.

  3. Clear call-to-action. State a clear call-to-action on your consent screen, such as “Agree and link.” This is because users need to understand what data they're required to share with Google to link their accounts.

  4. Ability to cancel. Provide a way for users to go back or cancel, if they choose not to link.

  5. Clear sign-in process. Ensure that users have clear method for signing in to their Google account, such as fields for their username and password or Sign in with Google.

  6. Ability to unlink. Offer a mechanism for users to unlink, such as a URL to their account settings on your platform. Alternatively, you can include a link to Google Account where users can manage their linked account.

  7. Ability to change user account. Suggest a method for users to switch their account(s). This is especially beneficial if users tend to have multiple accounts.

    • If a user must close the consent screen to switch accounts, send a recoverable error to Google so the user can sign in to the desired account with OAuth linking and the implicit flow.
  8. Include your logo. Display your company logo on the consent screen. Use your style guidelines to place your logo. If you wish to also display Google's logo, see Logos and trademarks.

Create the project

To create your project to use account linking:

  1. Go to the Google API Console.
  2. Klik Buat proyek .
  3. Masukkan nama atau terima saran yang dihasilkan.
  4. Konfirmasikan atau edit bidang yang tersisa.
  5. Klik Buat .

Untuk melihat ID proyek Anda:

  1. Go to the Google API Console.
  2. Temukan proyek Anda di tabel di halaman arahan. ID proyek muncul di kolom ID .

The Google Account Linking process includes a consent screen which tells users the application requesting access to their data, what kind of data they are asking for and the terms that apply. You will need to configure your OAuth consent screen before generating a Google API client ID.

  1. Open the OAuth consent screen page of the Google APIs console.
  2. If prompted, select the project you just created.
  3. On the "OAuth consent screen" page, fill out the form and click the “Save” button.

    Application name: The name of the application asking for consent. The name should accurately reflect your application and be consistent with the application name users see elsewhere. The application name will be shown on the Account Linking consent screen.

    Application logo: An image on the consent screen that will help users recognize your app. The logo is shown on Account linking consent screen and on account settings

    Support email: For users to contact you with questions about their consent.

    Scopes for Google APIs: Scopes allow your application to access your user's private Google data. For the Google Account Linking use case, default scope (email, profile, openid) is sufficient, you don’t need to add any sensitive scopes. It is generally a best practice to request scopes incrementally, at the time access is required, rather than up front. Learn more.

    Authorized domains: To protect you and your users, Google only allows applications that authenticate using OAuth to use Authorized Domains. Your applications' links must be hosted on Authorized Domains. Learn more.

    Application Homepage link: Home page for your application. Must be hosted on an Authorized Domain.

    Application Privacy Policy link: Shown on Google Acount Linking consent screen. Must be hosted on an Authorized Domain.

    Application Terms of Service link (Optional): Must be hosted on an Authorized Domain.

    Figure 1. Google Account Linking Consent Screen for a fictitious Application, Tunery

  4. Check "Verification Status", if your application needs verification then click the "Submit For Verification" button to submit your application for verification. Refer to OAuth verification requirements for details.

Terapkan server OAuth Anda

Implementasi server OAuth 2.0 dari aliran kode otorisasi terdiri dari dua titik akhir, yang disediakan oleh layanan Anda oleh HTTPS. Titik akhir pertama adalah titik akhir otorisasi, yang bertanggung jawab untuk menemukan atau mendapatkan persetujuan dari pengguna untuk akses data. Titik akhir otorisasi menampilkan UI masuk kepada pengguna Anda yang belum masuk dan mencatat persetujuan untuk akses yang diminta. Titik akhir kedua adalah titik akhir pertukaran token, yang digunakan untuk mendapatkan string terenkripsi, yang disebut token, yang memberi otorisasi kepada pengguna untuk mengakses layanan Anda.

Saat aplikasi Google perlu memanggil salah satu API layanan Anda, Google menggunakan titik akhir ini bersama-sama untuk mendapatkan izin dari pengguna Anda untuk memanggil API ini atas nama mereka.

Sesi aliran kode otorisasi OAuth 2.0 yang dimulai oleh Google memiliki aliran berikut:

  1. Google membuka titik akhir otorisasi Anda di browser pengguna. Jika aliran dimulai pada perangkat khusus suara untuk suatu Tindakan, Google mentransfer eksekusi ke telepon.
  2. Pengguna masuk, jika belum masuk, dan memberi Google izin untuk mengakses data mereka dengan API Anda, jika mereka belum memberikan izin.
  3. Layanan Anda membuat kode otorisasi dan mengembalikannya ke Google. Untuk melakukannya, alihkan kembali browser pengguna ke Google dengan kode otorisasi yang dilampirkan ke permintaan.
  4. Google mengirimkan kode otorisasi ke titik akhir pertukaran token Anda, yang memverifikasi keaslian kode dan mengembalikan token akses dan token penyegaran . Token akses adalah token berumur pendek yang diterima layanan Anda sebagai kredensial untuk mengakses API. Token penyegaran adalah token berumur panjang yang dapat disimpan dan digunakan Google untuk memperoleh token akses baru ketika masa berlakunya habis.
  5. Setelah pengguna menyelesaikan alur penautan akun, setiap permintaan berikutnya yang dikirim dari Google berisi token akses.

Tangani permintaan otorisasi

Saat Anda perlu melakukan penautan akun menggunakan alur kode otorisasi OAuth 2.0, Google mengarahkan pengguna ke titik akhir otorisasi Anda dengan permintaan yang menyertakan parameter berikut:

Parameter titik akhir otorisasi
client_id ID klien Google yang Anda daftarkan dengan Google.
redirect_uri URL yang Anda kirimi tanggapan atas permintaan ini.
state Nilai pembukuan yang dikembalikan ke Google tidak berubah di URI pengalihan.
scope Opsional: Rangkaian string cakupan yang dipisahkan spasi, yang menentukan data yang diminta otorisasi oleh Google.
response_type Jenis nilai yang akan dikembalikan dalam respons. Untuk alur kode otorisasi OAuth 2.0, jenis respons selalu berupa code .
user_locale Setelan bahasa Akun Google dalam format RFC5646 , digunakan untuk melokalkan konten Anda ke bahasa pilihan pengguna.

Misalnya, jika endpoint otorisasi Anda tersedia di https://myservice.example.com/auth , permintaannya mungkin terlihat seperti berikut:

GET https://myservice.example.com/auth?client_id=GOOGLE_CLIENT_ID&redirect_uri=REDIRECT_URI&state=STATE_STRING&scope=REQUESTED_SCOPES&response_type=code&user_locale=LOCALE
.dll

Agar titik akhir otorisasi Anda menangani permintaan masuk, lakukan langkah-langkah berikut:

  1. Verifikasikan bahwa client_id cocok dengan ID klien Google yang Anda daftarkan ke Google, dan bahwa redirect_uri cocok dengan URL pengalihan yang disediakan oleh Google untuk layanan Anda. Pemeriksaan ini penting untuk mencegah pemberian akses ke aplikasi klien yang tidak diinginkan atau salah konfigurasi. Jika Anda mendukung beberapa aliran OAuth 2.0, pastikan juga bahwa response_type adalah code .
  2. Periksa apakah pengguna masuk ke layanan Anda. Jika pengguna tidak login, selesaikan proses login atau pendaftaran layanan Anda.
  3. Buat kode otorisasi untuk digunakan Google untuk mengakses API Anda. Kode otorisasi dapat berupa nilai string apa pun, tetapi harus mewakili pengguna secara unik, token untuk klien, dan waktu kedaluwarsa kode, serta tidak boleh dapat ditebak. Anda biasanya mengeluarkan kode otorisasi yang kedaluwarsa setelah sekitar 10 menit.
  4. Konfirmasikan bahwa URL yang ditentukan oleh parameter redirect_uri memiliki format berikut:
      https://oauth-redirect.googleusercontent.com/r/YOUR_PROJECT_ID
      https://oauth-redirect-sandbox.googleusercontent.com/r/YOUR_PROJECT_ID
      
  5. Alihkan browser pengguna ke URL yang ditentukan oleh parameter redirect_uri . Sertakan kode otorisasi yang baru saja Anda buat dan nilai status asli yang tidak diubah saat Anda mengalihkan dengan menambahkan code dan parameter state . Berikut adalah contoh URL yang dihasilkan:
    https://oauth-redirect.googleusercontent.com/r/YOUR_PROJECT_ID?code=AUTHORIZATION_CODE&state=STATE_STRING

Tangani permintaan pertukaran token

Titik akhir pertukaran token layanan Anda bertanggung jawab atas dua jenis pertukaran token:

  • Tukarkan kode otorisasi untuk token akses dan segarkan token
  • Tukarkan token penyegaran untuk token akses

Permintaan pertukaran token mencakup parameter berikut:

Parameter titik akhir pertukaran token
client_id Sebuah string yang mengidentifikasi asal permintaan sebagai Google. String ini harus terdaftar dalam sistem Anda sebagai pengenal unik Google.
client_secret String rahasia yang Anda daftarkan ke Google untuk layanan Anda.
grant_type Jenis token yang ditukar. Baik itu authorization_code atau refresh_token .
code Jika grant_type=authorization_code , parameter ini adalah kode yang diterima Google dari proses masuk atau titik akhir pertukaran token Anda.
redirect_uri Jika grant_type=authorization_code , parameter ini adalah URL yang digunakan dalam permintaan otorisasi awal.
refresh_token Saat grant_type=refresh_token , parameter ini adalah token penyegaran yang diterima Google dari titik akhir pertukaran token Anda.
Tukarkan kode otorisasi untuk token akses dan segarkan token

Setelah pengguna masuk dan titik akhir otorisasi Anda mengembalikan kode otorisasi berumur pendek ke Google, Google mengirimkan permintaan ke titik akhir pertukaran token Anda untuk menukar kode otorisasi dengan token akses dan token penyegaran.

Untuk permintaan ini, nilai grant_type adalah authorization_code , dan nilai code adalah nilai kode otorisasi yang sebelumnya Anda berikan kepada Google. Berikut ini adalah contoh permintaan untuk menukar kode otorisasi dengan token akses dan token penyegaran:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET&grant_type=authorization_code&code=AUTHORIZATION_CODE&redirect_uri=REDIRECT_URI

Untuk menukar kode otorisasi dengan token akses dan token penyegaran, titik akhir pertukaran token Anda menanggapi permintaan POST dengan menjalankan langkah-langkah berikut:

  1. Verifikasi bahwa client_id mengidentifikasi asal permintaan sebagai asal resmi, dan client_secret cocok dengan nilai yang diharapkan.
  2. Verifikasikan bahwa kode otorisasi valid dan tidak kedaluwarsa, dan ID klien yang ditentukan dalam permintaan cocok dengan ID klien yang terkait dengan kode otorisasi.
  3. Konfirmasikan bahwa URL yang ditentukan oleh parameter redirect_uri identik dengan nilai yang digunakan dalam permintaan otorisasi awal.
  4. Jika Anda tidak dapat memverifikasi semua kriteria di atas, kembalikan kesalahan HTTP 400 Bad Request dengan isi {"error": "invalid_grant"} .
  5. Jika tidak, gunakan ID pengguna dari kode otorisasi untuk membuat token penyegaran dan token akses. Token ini dapat berupa nilai string apa pun, tetapi harus secara unik mewakili pengguna dan klien tempat token tersebut, dan tidak boleh dapat ditebak. Untuk token akses, catat juga waktu kedaluwarsa token, yang biasanya satu jam setelah Anda menerbitkan token. Segarkan token tidak kedaluwarsa.
  6. Kembalikan objek JSON berikut di badan respons HTTPS:
    {
    "token_type": "Bearer",
    "access_token": "ACCESS_TOKEN",
    "refresh_token": "REFRESH_TOKEN",
    "expires_in": SECONDS_TO_EXPIRATION
    }
    

Google menyimpan token akses dan token penyegaran untuk pengguna dan mencatat kedaluwarsa token akses. Saat token akses kedaluwarsa, Google menggunakan token penyegaran untuk mendapatkan token akses baru dari titik akhir pertukaran token Anda.

Tukarkan token penyegaran untuk token akses

Saat token akses kedaluwarsa, Google mengirimkan permintaan ke titik akhir pertukaran token Anda untuk menukar token penyegaran dengan token akses baru.

Untuk permintaan ini, nilai grant_type adalah refresh_token , dan nilai refresh_token adalah nilai token refresh yang sebelumnya Anda berikan kepada Google. Berikut ini adalah contoh permintaan untuk menukar token penyegaran dengan token akses:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET&grant_type=refresh_token&refresh_token=REFRESH_TOKEN

Untuk menukar token penyegaran dengan token akses, titik akhir pertukaran token Anda menanggapi permintaan POST dengan menjalankan langkah-langkah berikut:

  1. Verifikasi bahwa client_id mengidentifikasi asal permintaan sebagai Google, dan bahwa client_secret cocok dengan nilai yang diharapkan.
  2. Verifikasikan bahwa token penyegaran valid, dan bahwa ID klien yang ditentukan dalam permintaan cocok dengan ID klien yang terkait dengan token penyegaran.
  3. Jika Anda tidak dapat memverifikasi semua kriteria di atas, kembalikan kesalahan HTTP 400 Bad Request dengan isi {"error": "invalid_grant"} .
  4. Jika tidak, gunakan ID pengguna dari token penyegaran untuk membuat token akses. Token ini dapat berupa nilai string apa pun, tetapi harus secara unik mewakili pengguna dan klien tempat token tersebut, dan tidak boleh dapat ditebak. Untuk token akses, catat juga waktu kedaluwarsa token, biasanya satu jam setelah Anda menerbitkan token.
  5. Kembalikan objek JSON berikut di badan respons HTTPS:
    {
    "token_type": "Bearer",
    "access_token": " ACCESS_TOKEN ",
    "expires_in": SECONDS_TO_EXPIRATION
    }

Memvalidasi implementasi Anda

You can validate your implementation by using the OAuth 2.0 Playground tool.

In the tool, do the following steps:

  1. Click Configuration to open the OAuth 2.0 Configuration window.
  2. In the OAuth flow field, select Client-side.
  3. In the OAuth Endpoints field, select Custom.
  4. Specify your OAuth 2.0 endpoint and the client ID you assigned to Google in the corresponding fields.
  5. In the Step 1 section, don't select any Google scopes. Instead, leave this field blank or type a scope valid for your server (or an arbitrary string if you don't use OAuth scopes). When you're done, click Authorize APIs.
  6. In the Step 2 and Step 3 sections, go through the OAuth 2.0 flow and verify that each step works as intended.

You can validate your implementation by using the Google Account Linking Demo tool.

In the tool, do the following steps:

  1. Click the Sign-in with Google button.
  2. Choose the account you'd like to link.
  3. Enter the service ID.
  4. Optionally enter one or more scopes that you will request access for.
  5. Click Start Demo.
  6. When prompted, confirm that you may consent and deny the linking request.
  7. Confirm that you are redirected to your platform.