Ringkasan
Penautan yang disederhanakan untuk Login dengan Google berbasis OAuth menambahkan Login dengan Google di atas penautan OAuth. Hal ini memberikan pengalaman penautan yang lancar bagi pengguna Google, dan secara opsional memungkinkan pembuatan akun, yang memungkinkan pengguna membuat akun baru di layanan Anda menggunakan Akun Google mereka.
Untuk melakukan penautan akun dengan OAuth dan Login dengan Google, ikuti langkah-langkah umum berikut:
- Pertama, minta pengguna untuk memberikan izin akses ke profil Google mereka.
- Gunakan informasi di profilnya untuk memeriksa apakah akun pengguna ada.
- Untuk pengguna lama, tautkan akun.
- Jika Anda tidak dapat menemukan kecocokan untuk pengguna Google di sistem autentikasi Anda, validasi token ID yang diterima dari Google. Jika layanan Anda mendukung pembuatan akun, Anda dapat membuat pengguna berdasarkan informasi profil yang ada dalam token ID.
Gambar 1. Penautan Akun di ponsel pengguna dengan Penautan yang Sederhana
Penautan yang Disederhanakan: Alur OAuth + Login dengan Google
Diagram urutan berikut menjelaskan interaksi antara Pengguna, Google, dan endpoint pertukaran token Anda untuk Penautan yang Disederhanakan.
Peran dan tanggung jawab
Tabel berikut menentukan peran dan tanggung jawab aktor dalam alur Penautan yang Disederhanakan.
| Aktor / Komponen | Peran GAL | Tanggung Jawab |
|---|---|---|
| Aplikasi / Server Google | Klien OAuth | Mendapatkan izin pengguna untuk Login dengan Google, meneruskan pernyataan identitas (JWT) ke server Anda, dan menyimpan token yang dihasilkan secara aman. |
| Endpoint Pertukaran Token Anda | Penyedia Identitas / Server Otorisasi | Memvalidasi pernyataan identitas, memeriksa akun yang ada, menangani
intent penautan akun yang diperlukan (check,
get) dan intent create opsional, serta menerbitkan
token berdasarkan intent yang diminta. |
| Service API Anda | Server Resource | Memberikan akses ke data pengguna saat diberi token akses yang valid. |
Persyaratan untuk Penautan yang Disederhanakan
- Terapkan alur penautan OAuth dasar. Layanan Anda harus mendukung endpoint otorisasi dan pertukaran token yang kompatibel dengan OAuth 2.0.
- Endpoint pertukaran token Anda harus mendukung pernyataan
Token Web JSON (JWT)
dan menerapkan maksud
checkdangetyang diperlukan, dan secara opsional maksudcreate.
Logika Keputusan untuk Penautan yang Disederhanakan
Logika berikut menentukan cara memanggil intent selama alur Penautan yang Disederhanakan:
- Apakah pengguna memiliki akun di sistem autentikasi Anda? (Pengguna memutuskan
dengan memilih YA atau TIDAK)
- YA : Apakah pengguna menggunakan email yang terkait dengan Akun Google-nya untuk login ke platform Anda? (Pengguna memutuskan dengan memilih YA atau TIDAK)
- YA : Apakah pengguna memiliki akun yang cocok di sistem
autentikasi Anda? (
checkintent dipanggil untuk mengonfirmasi)- YA : Intent
getdipanggil dan akun ditautkan jika get intent berhasil ditampilkan. - TIDAK : Buat Akun Baru? (Pengguna memutuskan dengan memilih YA atau TIDAK;
hanya berlaku jika layanan Anda mendukung pembuatan akun)
- YA : Intent
createdipanggil dan akun ditautkan jika intent pembuatan berhasil ditampilkan. - TIDAK : Alur penautan OAuth dipicu, pengguna diarahkan ke browser mereka, dan pengguna diberi opsi untuk menautkan dengan email lain.
- YA : Intent
- YA : Intent
- TIDAK : Alur penautan OAuth dipicu, pengguna diarahkan ke browsernya, dan pengguna diberi opsi untuk menautkan dengan email lain.
- YA : Apakah pengguna memiliki akun yang cocok di sistem
autentikasi Anda? (
- TIDAK : Apakah pengguna memiliki akun yang cocok di sistem
autentikasi Anda? (
checkintent dipanggil untuk mengonfirmasi)- YA : Intent
getdipanggil dan akun ditautkan jika get intent berhasil ditampilkan. - TIDAK : Jika layanan Anda mendukung pembuatan akun,
createintent akan dipanggil dan akun akan ditautkan jika intent pembuatan berhasil ditampilkan. Jika pembuatan akun tidak didukung, endpoint Anda harus menampilkan error penautan HTTP 401 untuk memicu alur penautan OAuth penggantian.
- YA : Intent
- YA : Apakah pengguna menggunakan email yang terkait dengan Akun Google-nya untuk login ke platform Anda? (Pengguna memutuskan dengan memilih YA atau TIDAK)
Resep Penerapan
Endpoint pertukaran token Anda harus menerapkan intent check dan get
yang diperlukan, dan secara opsional intent create untuk mendukung Penautan yang Disederhanakan.
Ikuti langkah-langkah berikut untuk menangani berbagai maksud:
Memeriksa akun pengguna yang sudah ada (maksud pemeriksaan)
Google memanggil endpoint pertukaran token Anda untuk memverifikasi apakah pengguna Google ada di sistem Anda. Untuk mengetahui detail parameter, lihat Maksud Penautan yang Disederhanakan.
Resep Penerapan
Untuk menangani intent check yang diperlukan, lakukan tindakan berikut:
Validasi permintaan:
- Verifikasi
client_id,client_secret, dangrant_type(harusurn:ietf:params:oauth:grant-type:jwt-bearer). - Validasi
assertion(JWT) menggunakan kriteria dalam Validasi JWT.
- Verifikasi
Cari pengguna:
- Periksa apakah ID Akun Google (
sub) atau alamat email di JWT cocok dengan pengguna di database Anda.
- Periksa apakah ID Akun Google (
Merespons:
- Jika ditemukan: Menampilkan HTTP
200 OKdengan{"account_found": "true"}. - Jika tidak ditemukan: Menampilkan HTTP
404 Not Founddengan{"account_found": "false"}.
- Jika ditemukan: Menampilkan HTTP
Menangani penautan otomatis (mendapatkan intent)
Jika akun ada, Google akan memanggil endpoint Anda dengan intent=get untuk mengambil token. Untuk mengetahui detail parameter, lihat Maksud Penautan yang Disederhanakan.
Resep Penerapan
Untuk menangani intent get yang diperlukan, lakukan tindakan berikut:
Validasi permintaan:
- Verifikasi
client_id,client_secret, dangrant_type. - Validasi
assertion(JWT).
- Verifikasi
Cari pengguna:
- Verifikasi keberadaan pengguna menggunakan klaim
subatauemail.
- Verifikasi keberadaan pengguna menggunakan klaim
Merespons:
- Jika berhasil: Buat dan tampilkan
access_token,refresh_token, danexpires_indalam respons JSON (HTTP200 OK). - Jika penautan gagal: Menampilkan HTTP
401 Unauthorizeddengan{"error": "linking_error"}danlogin_hintopsional untuk melakukan penggantian ke penautan OAuth standar.
- Jika berhasil: Buat dan tampilkan
Menangani pembuatan akun menggunakan Login dengan Google (intent pembuatan)
Jika layanan Anda mendukung pembuatan akun dan tidak ada akun yang ada, Google akan memanggil endpoint Anda dengan intent=create untuk membuat pengguna baru. Untuk mengetahui detail parameter,
lihat Intent Penautan yang Dioptimalkan.
Resep Penerapan
Untuk menangani intent create opsional, lakukan tindakan berikut:
Validasi permintaan:
- Verifikasi
client_id,client_secret, dangrant_type. - Validasi
assertion(JWT).
- Verifikasi
Verifikasi bahwa pengguna tidak ada:
- Periksa apakah
subatauemailsudah ada di database Anda. - Jika pengguna ada: Tampilkan HTTP
401 Unauthorizeddengan{"error": "linking_error", "login_hint": "USER_EMAIL"}untuk memaksa penggantian ke penautan OAuth.
- Periksa apakah
Buat akun:
- Gunakan klaim
sub,email,name, danpicturedari JWT untuk membuat data pengguna baru.
- Gunakan klaim
Respons:
- Buat dan tampilkan token dalam respons JSON (HTTP
200 OK).
- Buat dan tampilkan token dalam respons JSON (HTTP
Mendapatkan Client ID Google API Anda
Anda akan diminta untuk memberikan ID Klien Google API selama proses pendaftaran Penautan Akun. Untuk mendapatkan Client ID API menggunakan project yang Anda buat saat menyelesaikan langkah-langkah penautan OAuth. Untuk melakukannya, selesaikan langkah-langkah berikut:
- Buka halaman Klien.
Buat atau pilih project Google API.
Jika project Anda tidak memiliki Client ID untuk Jenis aplikasi Web, klik Buat Klien untuk membuatnya. Pastikan untuk menyertakan domain situs Anda di kotak Asal JavaScript yang sah. Saat melakukan pengujian atau pengembangan lokal, Anda harus menambahkan
http://localhostdanhttp://localhost:<port_number>ke kolom Asal JavaScript resmi.
Memvalidasi penerapan
Anda dapat memvalidasi penerapan dengan menggunakan alat OAuth 2.0 Playground.
Di alat, lakukan langkah-langkah berikut:
- Klik Konfigurasi untuk membuka jendela Konfigurasi OAuth 2.0.
- Di kolom OAuth flow, pilih Client-side.
- Di kolom OAuth Endpoints, pilih Custom.
- Tentukan endpoint OAuth 2.0 dan client ID yang Anda tetapkan ke Google di kolom yang sesuai.
- Di bagian Langkah 1, jangan pilih cakupan Google apa pun. Sebagai gantinya, biarkan kolom ini kosong atau ketik cakupan yang valid untuk server Anda (atau string arbitrer jika Anda tidak menggunakan cakupan OAuth). Setelah selesai, klik Izinkan API.
- Di bagian Langkah 2 dan Langkah 3, ikuti alur OAuth 2.0 dan verifikasi bahwa setiap langkah berfungsi sebagaimana mestinya.
Anda dapat memvalidasi penerapan dengan menggunakan alat Demo Penautan Akun Google.
Di alat, lakukan langkah-langkah berikut:
- Klik tombol Login dengan Google.
- Pilih akun yang ingin Anda tautkan.
- Masukkan ID layanan.
- Secara opsional, masukkan satu atau beberapa cakupan yang akan Anda minta aksesnya.
- Klik Mulai Demo.
- Jika diminta, konfirmasi bahwa Anda dapat menyetujui dan menolak permintaan penautan.
- Konfirmasi bahwa Anda dialihkan ke platform Anda.