खास जानकारी
OAuth-आधारित, Google से साइन इन करने की सुविधा को बेहतर तरीके से लिंक करने से, Google से साइन इन करने की सुविधा के साथ-साथ, OAuth लिंक करने की सुविधा भी मिलती है. इससे, Google के उपयोगकर्ताओं को खाते लिंक करने का बेहतर अनुभव मिलता है. साथ ही, खाते बनाने की सुविधा भी मिलती है. इस सुविधा की मदद से, उपयोगकर्ता अपने Google खाते का इस्तेमाल करके, आपकी सेवा पर नया खाता बना सकता है.
OAuth और Google से साइन इन करने की सुविधा की मदद से, खाते लिंक करने के लिए, यह सामान्य तरीका अपनाएं:
- सबसे पहले, उपयोगकर्ता से उसकी Google प्रोफ़ाइल को ऐक्सेस करने की अनुमति मांगें.
- उसकी प्रोफ़ाइल में मौजूद जानकारी का इस्तेमाल करके, यह देखें कि उपयोगकर्ता का खाता मौजूद है या नहीं.
- मौजूदा उपयोगकर्ताओं के लिए, खाते लिंक करें.
- अगर आपको अपने ऑथेंटिकेशन सिस्टम में, Google के उपयोगकर्ता का खाता नहीं मिलता है, तो Google से मिले आईडी टोकन की पुष्टि करें. अगर आपकी सेवा, खाते बनाने की सुविधा देती है, तो आईडी टोकन में मौजूद प्रोफ़ाइल की जानकारी के आधार पर, उपयोगकर्ता का खाता बनाया जा सकता है.
पहली इमेज. बेहतर तरीके से लिंक करने की सुविधा की मदद से, उपयोगकर्ता के फ़ोन पर खाते लिंक करना
बेहतर तरीके से लिंक करने की सुविधा: OAuth + Google से साइन इन करने की सुविधा का फ़्लो
यहां दिए गए क्रम के डायग्राम में, बेहतर तरीके से लिंक करने की सुविधा के लिए, उपयोगकर्ता, Google, और आपके टोकन एक्सचेंज एंडपॉइंट के बीच होने वाली बातचीत के बारे में बताया गया है.
भूमिकाएं और ज़िम्मेदारियां
यहां दी गई टेबल में, बेहतर तरीके से लिंक करने की सुविधा के फ़्लो में शामिल लोगों की भूमिकाओं और ज़िम्मेदारियों के बारे में बताया गया है.
| व्यक्ति / कॉम्पोनेंट | जीएएल की भूमिका | ज़िम्मेदारियां |
|---|---|---|
| Google ऐप्लिकेशन / सर्वर | OAuth क्लाइंट | Google से साइन इन करने की सुविधा के लिए, उपयोगकर्ता की अनुमति लेता है. साथ ही, पहचान से जुड़े दावे (जेडब्लयूटी) आपके सर्वर को पास करता है और नतीजतन मिलने वाले टोकन को सुरक्षित तरीके से सेव करता है. |
| आपका टोकन एक्सचेंज एंडपॉइंट | आइडेंटिटी प्रोवाइडर / ऑथराइज़ेशन सर्वर | पहचान से जुड़े दावों की पुष्टि करता है, मौजूदा खातों की जांच करता है, खाते लिंक करने के लिए ज़रूरी इंटेंट (check,
get) और वैकल्पिक create इंटेंट को मैनेज करता है. साथ ही, अनुरोध किए गए इंटेंट के आधार पर टोकन जारी करता है. |
| आपकी सेवा का एपीआई | रिसोर्स सर्वर | वैलिड ऐक्सेस टोकन मिलने पर, उपयोगकर्ता के डेटा का ऐक्सेस देता है. |
बेहतर तरीके से लिंक करने की सुविधा के लिए ज़रूरी शर्तें
- OAuth लिंक करने की सुविधा का बुनियादी फ़्लो लागू करें. आपकी सेवा, OAuth 2.0 के मुताबिक ऑथराइज़ेशन और टोकन एक्सचेंज एंडपॉइंट के साथ काम करनी चाहिए.
- आपके टोकन एक्सचेंज एंडपॉइंट में,
JSON वेब टोकन (जेडब्लयूटी)
के दावे शामिल होने चाहिए. साथ ही, इसमें
checkऔरgetइंटेंट लागू होने चाहिए. इसके अलावा, इसमेंcreateइंटेंट भी लागू किया जा सकता है.
बेहतर तरीके से लिंक करने की सुविधा के लिए, फ़ैसले लेने का आधार
यहां दिए गए लॉजिक से यह तय होता है कि बेहतर तरीके से लिंक करने की सुविधा के फ़्लो के दौरान, इंटेंट को कैसे कॉल किया जाता है:
- क्या उपयोगकर्ता का खाता, आपके ऑथेंटिकेशन सिस्टम में मौजूद है? (उपयोगकर्ता, हां या नहीं चुनकर फ़ैसला लेता है)
- हां : क्या उपयोगकर्ता, आपके प्लैटफ़ॉर्म पर साइन इन करने के लिए, अपने Google खाते से जुड़े ईमेल पते का इस्तेमाल करता है? (उपयोगकर्ता, हां या नहीं चुनकर फ़ैसला लेता है)
- हां : क्या उपयोगकर्ता का खाता, आपके ऑथेंटिकेशन सिस्टम में मौजूद है? (
checkइंटेंट की पुष्टि करने के लिए कॉल किया जाता है)- हां :
getइंटेंट को कॉल किया जाता है. अगर get इंटेंट, सही तरीके से काम करता है, तो खाता लिंक हो जाता है. - क्या नया खाता बनाना है? (उपयोगकर्ता, हां या नहीं चुनकर फ़ैसला लेता है. यह सुविधा सिर्फ़ तब उपलब्ध होती है, जब आपकी सेवा, खाते बनाने की सुविधा देती हो)
- हां :
createइंटेंट को कॉल किया जाता है. अगर create इंटेंट, सही तरीके से काम करता है, तो खाता लिंक हो जाता है. - नहीं : OAuth लिंक करने की सुविधा का फ़्लो ट्रिगर हो जाता है. उपयोगकर्ता को उसके ब्राउज़र पर रीडायरेक्ट कर दिया जाता है. साथ ही, उसे किसी दूसरे ईमेल पते से लिंक करने का विकल्प दिया जाता है.
- हां :
- हां :
- नहीं : OAuth लिंक करने की सुविधा का फ़्लो ट्रिगर हो जाता है. उपयोगकर्ता को उसके ब्राउज़र पर रीडायरेक्ट कर दिया जाता है. साथ ही, उसे किसी दूसरे ईमेल पते से लिंक करने का विकल्प दिया जाता है.
- हां : क्या उपयोगकर्ता का खाता, आपके ऑथेंटिकेशन सिस्टम में मौजूद है? (
- नहीं : क्या उपयोगकर्ता का खाता, आपके ऑथेंटिकेशन सिस्टम में मौजूद है? (
checkइंटेंट की पुष्टि करने के लिए कॉल किया जाता है)- हां :
getइंटेंट को कॉल किया जाता है. अगर get इंटेंट, सही तरीके से काम करता है, तो खाता लिंक हो जाता है. - नहीं : अगर आपकी सेवा, खाते बनाने की सुविधा देती है, तो the
createintent को कॉल किया जाता है. अगर create intent, सही तरीके से काम करता है, तो खाता लिंक हो जाता है. अगर खाते बनाने की सुविधा उपलब्ध नहीं है, तो आपके एंडपॉइंट को HTTP 401 linking_error दिखाना चाहिए. इससे, OAuth लिंक करने की सुविधा का फ़ॉलबैक फ़्लो ट्रिगर हो जाता है.
- हां :
- हां : क्या उपयोगकर्ता, आपके प्लैटफ़ॉर्म पर साइन इन करने के लिए, अपने Google खाते से जुड़े ईमेल पते का इस्तेमाल करता है? (उपयोगकर्ता, हां या नहीं चुनकर फ़ैसला लेता है)
लागू करने की रेसिपी
बेहतर तरीके से लिंक करने की सुविधा के लिए, आपके टोकन एक्सचेंज एंडपॉइंट में, check और get इंटेंट लागू होने चाहिए. इसके अलावा, इसमें create इंटेंट भी लागू किया जा सकता है.
अलग-अलग इंटेंट को मैनेज करने के लिए, यह तरीका अपनाएं:
मौजूदा उपयोगकर्ता खाते की जांच करना (इरादे की जांच करना)
Google, आपके टोकन एक्सचेंज एंडपॉइंट को कॉल करता है. इससे यह पुष्टि की जाती है कि Google उपयोगकर्ता आपके सिस्टम में मौजूद है या नहीं. पैरामीटर के बारे में ज़्यादा जानने के लिए, लिंक करने के इंटेंट को आसान बनाना लेख पढ़ें.
लागू करने की रेसिपी
check इंटेंट को हैंडल करने के लिए, ये कार्रवाइयां करें:
अनुरोध की पुष्टि करें:
client_id,client_secret, औरgrant_typeकी पुष्टि करें. इनकी वैल्यूurn:ietf:params:oauth:grant-type:jwt-bearerहोनी चाहिए.- JWT की पुष्टि में दी गई शर्तों के हिसाब से,
assertion(JWT) की पुष्टि करें.
उपयोगकर्ता को ढूंढना:
- देखें कि JWT में मौजूद Google खाता आईडी (
sub) या ईमेल पता, आपके डेटाबेस में मौजूद किसी उपयोगकर्ता से मेल खाता हो.
- देखें कि JWT में मौजूद Google खाता आईडी (
जवाब:
- अगर मिल जाए, तो
{"account_found": "true"}के साथ एचटीटीपी200 OKदिखाएं. - अगर नहीं मिलता है, तो
{"account_found": "false"}के साथ एचटीटीपी404 Not Foundवाला मैसेज दिखाएं.
- अगर मिल जाए, तो
लिंक करने की सुविधा को अपने-आप हैंडल करना (इन्टेंट पाना)
अगर खाता मौजूद है, तो टोकन पाने के लिए, Google आपके एंडपॉइंट को intent=get के साथ कॉल करता है. पैरामीटर की ज़्यादा जानकारी के लिए, लिंक करने के इंटेंट को आसान बनाना
लेख पढ़ें.
लागू करने की रेसिपी
get इंटेंट को हैंडल करने के लिए, यह तरीका अपनाएं:
अनुरोध की पुष्टि करें:
client_id,client_secret, औरgrant_typeकी पुष्टि करें.assertion(JWT) की पुष्टि करें.
उपयोगकर्ता को ढूंढें:
subयाemailदावे का इस्तेमाल करके, पुष्टि करें कि उपयोगकर्ता मौजूद है.
जवाब दें:
- अगर यह प्रोसेस पूरी हो जाती है, तो JSON जवाब (एचटीटीपी
200 OK) मेंaccess_token,refresh_token, औरexpires_inजनरेट करें और उन्हें वापस भेजें. - अगर लिंक करने की प्रोसेस पूरी नहीं होती है, तो एचटीटीपी
401 Unauthorizedको{"error": "linking_error"}के साथ वापस भेजें. साथ ही, OAuth के ज़रिए लिंक करने की सामान्य प्रोसेस पर वापस जाने के लिए,login_hintको विकल्प के तौर पर शामिल करें.
- अगर यह प्रोसेस पूरी हो जाती है, तो JSON जवाब (एचटीटीपी
'Google से साइन इन करें' सुविधा का इस्तेमाल करके खाता बनाने की प्रोसेस को मैनेज करना (खाता बनाने का इरादा)
अगर आपकी सेवा में खाता बनाने की सुविधा उपलब्ध है और कोई खाता मौजूद नहीं है, तो Google आपके एंडपॉइंट को intent=create के साथ कॉल करता है, ताकि नया उपयोगकर्ता बनाया जा सके. पैरामीटर के बारे में ज़्यादा जानने के लिए, लिंक करने की प्रोसेस को आसान बनाने वाले इंटेंट देखें.
लागू करने की रेसिपी
create इंटेंट को हैंडल करने के लिए, ये कार्रवाइयां करें:
अनुरोध की पुष्टि करें:
client_id,client_secret, औरgrant_typeकी पुष्टि करें.assertion(JWT) की पुष्टि करें.
पुष्टि करें कि उपयोगकर्ता मौजूद नहीं है:
- देखें कि
subयाemailआपके डेटाबेस में पहले से मौजूद है या नहीं. - अगर उपयोगकर्ता मौजूद है, तो एचटीटीपी
401 Unauthorizedको{"error": "linking_error", "login_hint": "USER_EMAIL"}के साथ दिखाएं, ताकि OAuth लिंकिंग पर फ़ॉलबैक किया जा सके.
- देखें कि
खाता बनाएं:
- नया उपयोगकर्ता रिकॉर्ड बनाने के लिए, JWT से
sub,email,name, औरpictureदावों का इस्तेमाल करें.
- नया उपयोगकर्ता रिकॉर्ड बनाने के लिए, JWT से
जवाब:
- JSON रिस्पॉन्स (एचटीटीपी
200 OK) में टोकन जनरेट और वापस करता है.
- JSON रिस्पॉन्स (एचटीटीपी
अपना Google API क्लाइंट आईडी पाना
खाते लिंक करने की सुविधा के लिए रजिस्टर करने की प्रोसेस के दौरान, आपको अपना Google API क्लाइंट आईडी देना होगा. OAuth लिंक करने की सुविधा के लिए, चरण पूरे करते समय बनाए गए प्रोजेक्ट का इस्तेमाल करके, अपना API क्लाइंट आईडी पाने के लिए: इसके लिए, यह तरीका अपनाएं:
- क्लाइंट पेज पर जाएं.
Google API (एपीआई) का कोई प्रोजेक्ट बनाएं या चुनें.
अगर आपके प्रोजेक्ट में, वेब ऐप्लिकेशन टाइप के लिए कोई क्लाइंट आईडी नहीं है, तो क्लाइंट बनाएं पर क्लिक करके एक क्लाइंट आईडी बनाएं. अनुमति वाले JavaScript ऑरिजिन बॉक्स में, अपनी साइट का डोमेन ज़रूर शामिल करें. स्थानीय तौर पर टेस्ट या डेवलपमेंट करते समय, आपको
http://localhostऔरhttp://localhost:<port_number>दोनों को अनुमति वाले JavaScript ऑरिजिन फ़ील्ड में जोड़ना होगा.
लागू करने की पुष्टि करना
OAuth 2.0 Playground टूल का इस्तेमाल करके, लागू करने की पुष्टि की जा सकती है.
टूल में, यह तरीका अपनाएं:
- OAuth 2.0 कॉन्फ़िगरेशन विंडो खोलने के लिए, कॉन्फ़िगरेशन पर क्लिक करें.
- OAuth फ़्लो फ़ील्ड में, क्लाइंट-साइड चुनें.
- OAuth एंडपॉइंट फ़ील्ड में, कस्टम चुनें.
- अपने OAuth 2.0 एंडपॉइंट और Google को असाइन किया गया क्लाइंट आईडी, उससे जुड़े फ़ील्ड में डालें.
- पहला चरण सेक्शन में, कोई भी Google स्कोप न चुनें. इसके बजाय, इस फ़ील्ड को खाली छोड़ दें या अपने सर्वर के लिए मान्य स्कोप टाइप करें. अगर OAuth स्कोप का इस्तेमाल नहीं किया जाता है, तो कोई भी स्ट्रिंग टाइप करें. जब आपका काम पूरा हो जाए, तो एपीआई को अनुमति दें पर क्लिक करें.
- दूसरे चरण और तीसरे चरण सेक्शन में, OAuth 2.0 फ़्लो देखें. साथ ही, यह पुष्टि करें कि हर चरण उम्मीद के मुताबिक काम कर रहा है.
Google खाता लिंक करने की सुविधा का डेमो टूल का इस्तेमाल करके, लागू की गई सुविधा की पुष्टि की जा सकती है.
टूल में, यह तरीका अपनाएं:
- Google से साइन इन करें बटन पर क्लिक करें.
- वह खाता चुनें जिसे आपको लिंक करना है.
- सेवा आईडी डालें.
- विकल्प के तौर पर, एक या उससे ज़्यादा ऐसे स्कोप डालें जिनके लिए आपको ऐक्सेस का अनुरोध करना है.
- डेमो शुरू करें पर क्लिक करें.
- जब कहा जाए, तब पुष्टि करें कि आपके पास खाते को लिंक करने के अनुरोध को स्वीकार या अस्वीकार करने का विकल्प है.
- पुष्टि करें कि आपको अपने प्लैटफ़ॉर्म पर रीडायरेक्ट किया गया हो.