Omówienie
Uproszczone łączenie z logowaniem przez Google za pomocą protokołu OAuth – oprócz tego dodaliśmy Logowanie przez Google Łączenie przez OAuth. Pozwala to na bezproblemowe łączenie użytkowników usług Google, a także umożliwia tworzenie kont, dzięki czemu użytkownik może utworzyć nowe konto w usłudze za pomocą swojego konta Google.
Aby wykonać łączenie kont za pomocą protokołu OAuth i logowania przez Google, postępuj zgodnie z tymi ogólnymi wskazówkami kroki:
- Najpierw poproś użytkownika o zgodę na dostęp do jego profilu Google.
- Użyj informacji z profilu użytkownika, aby sprawdzić, czy konto użytkownika istnieje.
- Istniejący użytkownicy: połącz konta.
- Jeśli nie możesz znaleźć dopasowania użytkownika Google w swoim systemie uwierzytelniania, weryfikacji tokena tożsamości otrzymanego od Google. Następnie możesz utworzyć na informacjach o profilu zawartych w tokenie tożsamości.
Rysunek 1. Łączenie kont na telefonie użytkownika dzięki uproszczonemu łączeniu
Wymagania dotyczące uproszczonego łączenia
- Zaimplementuj proces podstawowego łączenia internetowego protokołu OAuth. Twoja usługa musi obsługiwać protokół OAuth 2.0 punkty końcowe autoryzacji i wymiany tokenów.
- Punkt końcowy wymiany tokenów musi obsługiwać asercje tokena internetowego JSON (JWT) i implementować intencje
check
,create
iget
.
Wdróż serwer OAuth
Punkt końcowy token Exchange musi obsługiwać intencje check
, create
, get
. Poniżej widać czynności wykonane w ramach procesu łączenia kont i wskazuje, kiedy są wywoływane różne intencje:
- Czy użytkownik ma konto w Twoim systemie uwierzytelniania? (Użytkownik decyduje, wybierając TAK lub NIE)
- TAK : Czy użytkownik używa adresu e-mail powiązanego z kontem Google do logowania się na Twojej platformie? (Użytkownik decyduje, wybierając TAK lub NIE)
- TAK : Czy użytkownik ma pasujące konto w Twoim systemie uwierzytelniania? (Dzwoni
check intent
, aby potwierdzić)- .
- TAK : jeśli nastąpi zwrot intencji, wywoływana jest metoda
get intent
, a konto jest połączone. - NIE : Utworzyć nowe konto? (Użytkownik decyduje, wybierając TAK lub NIE)
- TAK : jeśli nastąpi zwrot intencji, wywoływana jest metoda
create intent
, a konto jest połączone. - NIE : uruchamiany jest przepływ internetowego protokołu OAuth, użytkownik jest kierowany do przeglądarki, a także może wybrać opcję połączenia za pomocą innego adresu e-mail.
- TAK : jeśli nastąpi zwrot intencji, wywoływana jest metoda
- TAK : jeśli nastąpi zwrot intencji, wywoływana jest metoda
- NIE : uruchamiany jest proces Web OAuth, użytkownik jest kierowany do przeglądarki, a także może wybrać opcję połączenia za pomocą innego adresu e-mail.
- TAK : Czy użytkownik ma pasujące konto w Twoim systemie uwierzytelniania? (Dzwoni
- NIE : Czy użytkownik ma pasujące konto w Twoim systemie uwierzytelniania? (Dzwoni
check intent
, aby potwierdzić)- .
- TAK : jeśli nastąpi zwrot intencji, wywoływana jest metoda
get intent
, a konto jest połączone. - NIE : jeśli nastąpi zwrot intencji, wywoływana jest metoda
create intent
, a konto jest połączone.
- TAK : jeśli nastąpi zwrot intencji, wywoływana jest metoda
- TAK : Czy użytkownik używa adresu e-mail powiązanego z kontem Google do logowania się na Twojej platformie? (Użytkownik decyduje, wybierając TAK lub NIE)
Sprawdzanie, czy istnieje konto użytkownika (sprawdź intencje)
Gdy użytkownik wyrazi zgodę na dostęp do jego profilu Google, Google wysyła żądania, które zawiera podpisane potwierdzenie tożsamości użytkownika Google. asercja zawiera informacje obejmujące identyfikator konta Google użytkownika, imię i nazwisko oraz adres e-mail. Punkt końcowy wymiany tokenów skonfigurowany dla Twojego które obsługuje projekt.
Jeśli odpowiednie konto Google jest już używane podczas uwierzytelniania
system, punkt końcowy wymiany tokenów zwraca żądanie account_found=true
. Jeśli
Konto Google nie pasuje do istniejącego użytkownika lub punktu końcowego wymiany tokenów
zwraca błąd HTTP 404 „Nie znaleziono” z account_found=false
.
Prośba ma taki format:
POST /token HTTP/1.1 Host: oauth2.example.com Content-Type: application/x-www-form-urlencoded grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&intent=check&assertion=JWT&scope=SCOPES&client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET
Punkt końcowy wymiany tokenów musi obsługiwać te parametry:
Parametry punktu końcowego tokena | |
---|---|
intent |
W przypadku tych żądań wartość tego parametru jest
check |
grant_type |
Typ wymienianego tokena. W przypadku tych żądań
ma wartość urn:ietf:params:oauth:grant-type:jwt-bearer . |
assertion |
Token internetowy JSON (JWT), który stanowi podpisane potwierdzenie uwierzytelniania Google tożsamości użytkownika. Token JWT zawiera informacje o Identyfikator konta Google, imię i nazwisko oraz adres e-mail. |
client_id |
Identyfikator klienta przypisany przez Ciebie do Google. |
client_secret |
Klucz klienta przypisany przez Ciebie do Google. |
Aby odpowiedzieć na żądania intencji check
, punkt końcowy wymiany tokenów musi wykonać te czynności:
- Sprawdź i zdekoduj potwierdzenie JWT.
- Sprawdź, czy konto Google znajduje się już w systemie uwierzytelniania.
Weryfikowanie i dekodowanie potwierdzenia JWT
Potwierdzenie JWT możesz zweryfikować i zdekodować za pomocą Biblioteka dekodowania JWT dla Twojego języka Używaj Klucze publiczne Google, dostępne w tych krajach: JWK lub formaty PEM do weryfikacji, podpis tokena.
Po zdekodowaniu potwierdzenie JWT wygląda jak w tym przykładzie:
{ "sub": "1234567890", // The unique ID of the user's Google Account "iss": "https://accounts.google.com", // The assertion's issuer "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID "iat": 233366400, // Unix timestamp of the assertion's creation time "exp": 233370000, // Unix timestamp of the assertion's expiration time "name": "Jan Jansen", "given_name": "Jan", "family_name": "Jansen", "email": "jan@gmail.com", // If present, the user's email address "email_verified": true, // true, if Google has verified the email address "hd": "example.com", // If present, the host domain of the user's GSuite email address // If present, a URL to user's profile picture "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ", "locale": "en_US" // User's locale, from browser or phone settings }
Oprócz weryfikacji podpisu tokena sprawdź, czy
wydawca (pole iss
) to https://accounts.google.com
, oznacza to, że odbiorcy
(pole aud
) to przypisany identyfikator klienta, który nie wygasł.
(pole exp
).
Za pomocą pól email
, email_verified
i hd
możesz określić,
Google hostuje dany adres e-mail i jest dla niego autorytatywny. W przypadku, gdy Google
autorytatywny, według którego użytkownik jest obecnie znany jako rzeczywisty właściciel konta
i możesz pominąć hasło i inne testy zabezpieczające. W przeciwnym razie te metody
mogą zostać użyte do zweryfikowania konta przed połączeniem.
Przypadki, w których Google ma wiarygodność:
- To jest konto Gmail, adres
email
ma sufiks@gmail.com
. - To jest konto G Suite,
email_verified
ma wartość prawda i ustawionohd
.
Użytkownicy mogą rejestrować się w Google, nie korzystając z Gmaila lub G Suite. Kiedy
email
nie zawiera sufiksu @gmail.com
, a hd
nie występuje w Google
zalecamy wiarygodność i hasło lub inne metody weryfikujące weryfikację
użytkownika. email_verified
może również być prawdziwe, ponieważ wstępnie zweryfikowaliśmy, że
użytkownika przy tworzeniu konta Google, jednak własność firmy zewnętrznej
konto e-mail mogło się od tego czasu zmienić.
Sprawdź, czy konto Google znajduje się już w systemie uwierzytelniania
Sprawdź, czy spełniony jest jeden z tych warunków:
- Identyfikator konta Google znajdujący się w polu
sub
potwierdzenia należy do użytkownika w bazie danych. - Adres e-mail podany w potwierdzeniu pasuje do użytkownika w bazie danych użytkowników.
Jeśli którykolwiek z tych warunków jest spełniony, użytkownik już się zarejestrował. W takim przypadku zwraca odpowiedź podobną do tej:
HTTP/1.1 200 Success Content-Type: application/json;charset=UTF-8 { "account_found":"true", }
Jeśli ani identyfikator konta Google, ani adres e-mail podany w
oznacza, że użytkownik nie zarejestrował się jeszcze w bazie danych. W
w tym przypadku punkt końcowy wymiany tokenów musi odpowiedzieć z błędem HTTP 404
, która określa "account_found": "false"
, tak jak w tym przykładzie:
HTTP/1.1 404 Not found Content-Type: application/json;charset=UTF-8 { "account_found":"false", }
Obsługa automatycznego łączenia (pobieranie intencji)
Gdy użytkownik wyrazi zgodę na dostęp do jego profilu Google, Google wysyła żądania, które zawiera podpisane potwierdzenie tożsamości użytkownika Google. asercja zawiera informacje obejmujące identyfikator konta Google użytkownika, imię i nazwisko oraz adres e-mail. Punkt końcowy wymiany tokenów skonfigurowany dla Twojego które obsługuje projekt.
Jeśli odpowiednie konto Google jest już używane podczas uwierzytelniania
system, punkt końcowy wymiany tokenów zwraca token użytkownika. Jeśli
Konto Google nie pasuje do istniejącego użytkownika lub punktu końcowego wymiany tokenów
zwraca błąd linking_error
i opcjonalny login_hint
.
Prośba ma taki format:
POST /token HTTP/1.1 Host: oauth2.example.com Content-Type: application/x-www-form-urlencoded grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&intent=get&assertion=JWT&scope=SCOPES&client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET
Punkt końcowy wymiany tokenów musi obsługiwać te parametry:
Parametry punktu końcowego tokena | |
---|---|
intent |
W przypadku tych żądań wartość tego parametru wynosi get . |
grant_type |
Typ wymienianego tokena. W przypadku tych żądań
ma wartość urn:ietf:params:oauth:grant-type:jwt-bearer . |
assertion |
Token internetowy JSON (JWT), który stanowi podpisane potwierdzenie uwierzytelniania Google tożsamości użytkownika. Token JWT zawiera informacje o Identyfikator konta Google, imię i nazwisko oraz adres e-mail. |
scope |
Opcjonalne: wszystkie zakresy skonfigurowane przez Google, których ma żądać. użytkowników. |
client_id |
Identyfikator klienta przypisany przez Ciebie do Google. |
client_secret |
Klucz klienta przypisany przez Ciebie do Google. |
Aby odpowiedzieć na żądania intencji get
, punkt końcowy wymiany tokenów musi wykonać te czynności:
- Sprawdź i zdekoduj potwierdzenie JWT.
- Sprawdź, czy konto Google znajduje się już w systemie uwierzytelniania.
Weryfikowanie i dekodowanie potwierdzenia JWT
Potwierdzenie JWT możesz zweryfikować i zdekodować za pomocą Biblioteka dekodowania JWT dla Twojego języka Używaj Klucze publiczne Google, dostępne w tych krajach: JWK lub formaty PEM do weryfikacji, podpis tokena.
Po zdekodowaniu potwierdzenie JWT wygląda jak w tym przykładzie:
{ "sub": "1234567890", // The unique ID of the user's Google Account "iss": "https://accounts.google.com", // The assertion's issuer "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID "iat": 233366400, // Unix timestamp of the assertion's creation time "exp": 233370000, // Unix timestamp of the assertion's expiration time "name": "Jan Jansen", "given_name": "Jan", "family_name": "Jansen", "email": "jan@gmail.com", // If present, the user's email address "email_verified": true, // true, if Google has verified the email address "hd": "example.com", // If present, the host domain of the user's GSuite email address // If present, a URL to user's profile picture "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ", "locale": "en_US" // User's locale, from browser or phone settings }
Oprócz weryfikacji podpisu tokena sprawdź, czy
wydawca (pole iss
) to https://accounts.google.com
, oznacza to, że odbiorcy
(pole aud
) to przypisany identyfikator klienta, który nie wygasł.
(pole exp
).
Za pomocą pól email
, email_verified
i hd
możesz określić,
Google hostuje dany adres e-mail i jest dla niego autorytatywny. W przypadku, gdy Google
autorytatywny, według którego użytkownik jest obecnie znany jako rzeczywisty właściciel konta
i możesz pominąć hasło i inne testy zabezpieczające. W przeciwnym razie te metody
mogą zostać użyte do zweryfikowania konta przed połączeniem.
Przypadki, w których Google ma wiarygodność:
- To jest konto Gmail, adres
email
ma sufiks@gmail.com
. - To jest konto G Suite,
email_verified
ma wartość prawda i ustawionohd
.
Użytkownicy mogą rejestrować się w Google, nie korzystając z Gmaila lub G Suite. Kiedy
email
nie zawiera sufiksu @gmail.com
, a hd
nie występuje w Google
zalecamy wiarygodność i hasło lub inne metody weryfikujące weryfikację
użytkownika. email_verified
może również być prawdziwe, ponieważ wstępnie zweryfikowaliśmy, że
użytkownika przy tworzeniu konta Google, jednak własność firmy zewnętrznej
konto e-mail mogło się od tego czasu zmienić.
Sprawdź, czy konto Google znajduje się już w systemie uwierzytelniania
Sprawdź, czy spełniony jest jeden z tych warunków:
- Identyfikator konta Google znajdujący się w polu
sub
potwierdzenia należy do użytkownika w bazie danych. - Adres e-mail podany w potwierdzeniu pasuje do użytkownika w bazie danych użytkowników.
Jeśli konto użytkownika zostanie znalezione, wydawaj token dostępu i zwracaj wartości w obiekcie JSON w treści odpowiedzi HTTPS, jak w tym przykładzie:
{ "token_type": "Bearer", "access_token": "ACCESS_TOKEN", "expires_in": SECONDS_TO_EXPIRATION }
W niektórych przypadkach połączenie kont na podstawie tokena tożsamości może się nie udać w przypadku użytkownika. Jeśli
zrobi to z jakiegokolwiek powodu, punkt końcowy wymiany tokenów musi odpowiedzieć z kodem
Błąd 401, który określa error=linking_error
, tak jak w tym przykładzie:
HTTP/1.1 401 Unauthorized Content-Type: application/json;charset=UTF-8 { "error":"linking_error", "login_hint":"foo@bar.com" }
Gdy Google otrzymuje odpowiedź o błędzie 401 z kodem linking_error
, wysyła
użytkownika do punktu końcowego autoryzacji z parametrem login_hint
.
użytkownik realizuje proces łączenia kont w przeglądarce za pomocą protokołu OAuth.
Handle account creation via Google Sign-In (create intent)
When a user needs to create an account on your service, Google makes a request
to your token exchange endpoint that specifies intent=create
.
The request has the following form:
POST /token HTTP/1.1 Host: oauth2.example.com Content-Type: application/x-www-form-urlencoded response_type=token&grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&scope=SCOPES&intent=create&assertion=JWT&client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET
Your token exchange endpoint must able to handle the following parameters:
Token endpoint parameters | |
---|---|
intent |
For these requests, the value of this parameter is create . |
grant_type |
The type of token being exchanged. For these requests, this
parameter has the value urn:ietf:params:oauth:grant-type:jwt-bearer . |
assertion |
A JSON Web Token (JWT) that provides a signed assertion of the Google user's identity. The JWT contains information that includes the user's Google Account ID, name, and email address. |
client_id |
The client ID you assigned to Google. |
client_secret |
The client secret you assigned to Google. |
The JWT within the assertion
parameter contains the user's Google Account ID,
name, and email address, which you can use to create a new account on your
service.
To respond to the create
intent requests, your token exchange endpoint must perform the following steps:
- Validate and decode the JWT assertion.
- Validate user information and create new account.
Weryfikowanie i dekodowanie potwierdzenia JWT
Potwierdzenie JWT możesz zweryfikować i zdekodować za pomocą Biblioteka dekodowania JWT dla Twojego języka Używaj Klucze publiczne Google, dostępne w tych krajach: JWK lub formaty PEM do weryfikacji, podpis tokena.
Po zdekodowaniu potwierdzenie JWT wygląda jak w tym przykładzie:
{ "sub": "1234567890", // The unique ID of the user's Google Account "iss": "https://accounts.google.com", // The assertion's issuer "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID "iat": 233366400, // Unix timestamp of the assertion's creation time "exp": 233370000, // Unix timestamp of the assertion's expiration time "name": "Jan Jansen", "given_name": "Jan", "family_name": "Jansen", "email": "jan@gmail.com", // If present, the user's email address "email_verified": true, // true, if Google has verified the email address "hd": "example.com", // If present, the host domain of the user's GSuite email address // If present, a URL to user's profile picture "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ", "locale": "en_US" // User's locale, from browser or phone settings }
Oprócz weryfikacji podpisu tokena sprawdź, czy
wydawca (pole iss
) to https://accounts.google.com
, oznacza to, że odbiorcy
(pole aud
) to przypisany identyfikator klienta, który nie wygasł.
(pole exp
).
Za pomocą pól email
, email_verified
i hd
możesz określić,
Google hostuje dany adres e-mail i jest dla niego autorytatywny. W przypadku, gdy Google
autorytatywny, według którego użytkownik jest obecnie znany jako rzeczywisty właściciel konta
i możesz pominąć hasło i inne testy zabezpieczające. W przeciwnym razie te metody
mogą zostać użyte do zweryfikowania konta przed połączeniem.
Przypadki, w których Google ma wiarygodność:
- To jest konto Gmail, adres
email
ma sufiks@gmail.com
. - To jest konto G Suite,
email_verified
ma wartość prawda i ustawionohd
.
Użytkownicy mogą rejestrować się w Google, nie korzystając z Gmaila lub G Suite. Kiedy
email
nie zawiera sufiksu @gmail.com
, a hd
nie występuje w Google
zalecamy wiarygodność i hasło lub inne metody weryfikujące weryfikację
użytkownika. email_verified
może również być prawdziwe, ponieważ wstępnie zweryfikowaliśmy, że
użytkownika przy tworzeniu konta Google, jednak własność firmy zewnętrznej
konto e-mail mogło się od tego czasu zmienić.
Validate user information and create new account
Check whether either of the following conditions are true:
- The Google Account ID, found in the assertion's
sub
field, is in your user database. - The email address in the assertion matches a user in your user database.
If either condition is true, prompt the user to link their existing account
with their Google Account. To do so, respond to the request with an HTTP 401 error
that specifies error=linking_error
and gives the user's email address as the
login_hint
. The following is a sample response:
HTTP/1.1 401 Unauthorized Content-Type: application/json;charset=UTF-8 { "error":"linking_error", "login_hint":"foo@bar.com" }
When Google receives a 401 error response with linking_error
, Google sends
the user to your authorization endpoint with login_hint
as a parameter. The
user completes account linking using the OAuth linking flow in their browser.
If neither condition is true, create a new user account with the information provided in the JWT. New accounts don't typically have a password set. It's recommended that you add Google Sign-In to other platforms to enable users to log in with Google across the surfaces of your application. Alternatively, you can email the user a link that starts your password recovery flow to allow the user to set a password to sign in on other platforms.
When the creation is completed, issue an access token and return the values in a JSON object in the body of your HTTPS response, like in the following example:
{ "token_type": "Bearer", "access_token": "ACCESS_TOKEN", "expires_in": SECONDS_TO_EXPIRATION }
Uzyskiwanie identyfikatora klienta interfejsu API Google
Podczas procesu rejestracji w ramach łączenia kont musisz podać identyfikator klienta interfejsu API Google.
Aby uzyskać identyfikator klienta interfejsu API przy użyciu projektu utworzonego podczas wykonywania czynności dotyczących łączenia protokołu OAuth. W tym celu wykonaj następujące czynności:
- Otwórz stronę Credentials (Dane logowania) w interfejsie Konsola interfejsów API Google.
Utwórz lub wybierz projekt interfejsów API Google.
Jeśli Twój projekt nie ma identyfikatora klienta dla typu aplikacji internetowej, kliknij Utwórz dane logowania > Identyfikator klienta OAuth, aby go utworzyć. Pamiętaj o podaniu domenę witryny w polu Autoryzowane źródła JavaScriptu. Po wykonaniu lokalnych testów lub programowania, musisz dodać zarówno
http://localhost
, jak ihttp://localhost:<port_number>
w polu Autoryzowane źródła JavaScript.
Weryfikowanie implementacji
Własną implementację możesz sprawdzić za pomocą narzędzia OAuth 2.0 Playground.
W narzędziu wykonaj te czynności:
- Kliknij Konfiguracja , aby otworzyć okno konfiguracji OAuth 2.0.
- W polu Procedura OAuth wybierz Po stronie klienta.
- W polu Punkty końcowe OAuth wybierz Niestandardowe.
- W odpowiednich polach podaj punkt końcowy OAuth 2.0 i identyfikator klienta przypisany do Google.
- W sekcji Krok 1 nie wybieraj żadnych zakresów uprawnień Google. Zamiast tego pozostaw to pole puste lub wpisz zakres prawidłowy dla Twojego serwera (lub dowolny ciąg znaków, jeśli nie używasz zakresów OAuth). Gdy skończysz, kliknij Autoryzuj interfejsy API.
- W sekcji Krok 2 i Krok 3 przejdź przez proces OAuth 2.0 i sprawdź, czy każdy krok działa prawidłowo.
Implementację możesz zweryfikować za pomocą narzędzia Demo łączenia kont Google.
W narzędziu wykonaj te czynności:
- Kliknij przycisk Zaloguj się przez Google.
- Wybierz konto, które chcesz połączyć.
- Wpisz identyfikator usługi.
- Opcjonalnie wpisz co najmniej 1 zakres, do którego chcesz uzyskać dostęp.
- Kliknij Uruchom wersję pokazową.
- Gdy pojawi się odpowiedni komunikat, potwierdź, że możesz wyrazić zgodę lub odrzucić prośbę o połączenie.
- Sprawdź, czy nastąpiło przekierowanie na Twoją platformę.