Penautan yang Disederhanakan dengan OAuth dan Login dengan Google

Ringkasan

Penautan yang disederhanakan untuk Login dengan Google berbasis OAuth menambahkan Login dengan Google di atas penautan OAuth. Hal ini memberikan pengalaman penautan yang lancar bagi pengguna Google, dan secara opsional memungkinkan pembuatan akun, yang memungkinkan pengguna membuat akun baru di layanan Anda menggunakan Akun Google mereka.

Untuk melakukan penautan akun dengan OAuth dan Login dengan Google, ikuti langkah-langkah umum berikut:

  1. Pertama, minta pengguna untuk memberikan izin akses ke profil Google mereka.
  2. Gunakan informasi di profilnya untuk memeriksa apakah akun pengguna ada.
  3. Untuk pengguna lama, tautkan akun.
  4. Jika Anda tidak dapat menemukan kecocokan untuk pengguna Google di sistem autentikasi Anda, validasi token ID yang diterima dari Google. Jika layanan Anda mendukung pembuatan akun, Anda dapat membuat pengguna berdasarkan informasi profil yang ada dalam token ID.
Gambar ini menunjukkan langkah-langkah bagi pengguna untuk menautkan akun Google mereka menggunakan alur penautan yang disederhanakan. Screenshot pertama menunjukkan cara pengguna dapat memilih aplikasi Anda untuk ditautkan. Screenshot kedua memungkinkan pengguna mengonfirmasi apakah mereka memiliki akun yang ada di layanan Anda atau tidak. Screenshot ketiga memungkinkan pengguna memilih Akun Google yang ingin mereka tautkan. Screenshot keempat menampilkan konfirmasi untuk menautkan akun Google mereka dengan aplikasi Anda. Screenshot kelima menampilkan akun pengguna yang berhasil ditautkan di aplikasi Google.
Penautan Akun di ponsel pengguna dengan Penautan yang Sederhana

Gambar 1. Penautan Akun di ponsel pengguna dengan Penautan yang Sederhana

Penautan yang Disederhanakan: Alur OAuth + Login dengan Google

Diagram urutan berikut menjelaskan interaksi antara Pengguna, Google, dan endpoint pertukaran token Anda untuk Penautan yang Disederhanakan.

Pengguna Aplikasi Google / Server Token Anda Endpoint Pertukaran API Anda 1. Pengguna memulai penautan 2. Meminta Login dengan Google 3. Login dengan Google 4. periksa maksud (Pernyataan JWT) 5. account_found: true/false Jika akun ditemukan: 6. get intent Jika tidak ada akun: 6. create intent 7. access_token, refresh_token 8. Menyimpan token pengguna 9. Mengakses resource pengguna
Gambar 2. Urutan peristiwa dalam alur Penautan yang Disederhanakan.

Peran dan tanggung jawab

Tabel berikut menentukan peran dan tanggung jawab aktor dalam alur Penautan yang Disederhanakan.

Aktor / Komponen Peran GAL Tanggung Jawab
Aplikasi / Server Google Klien OAuth Mendapatkan izin pengguna untuk Login dengan Google, meneruskan pernyataan identitas (JWT) ke server Anda, dan menyimpan token yang dihasilkan secara aman.
Endpoint Pertukaran Token Anda Penyedia Identitas / Server Otorisasi Memvalidasi pernyataan identitas, memeriksa akun yang ada, menangani intent penautan akun yang diperlukan (check, get) dan intent create opsional, serta menerbitkan token berdasarkan intent yang diminta.
Service API Anda Server Resource Memberikan akses ke data pengguna saat diberi token akses yang valid.

Persyaratan untuk Penautan yang Disederhanakan

  • Terapkan alur penautan OAuth dasar. Layanan Anda harus mendukung endpoint otorisasi dan pertukaran token yang kompatibel dengan OAuth 2.0.
  • Endpoint pertukaran token Anda harus mendukung pernyataan Token Web JSON (JWT) dan menerapkan maksud check dan get yang diperlukan, dan secara opsional maksud create.

Logika Keputusan untuk Penautan yang Disederhanakan

Logika berikut menentukan cara memanggil intent selama alur Penautan yang Disederhanakan:

  1. Apakah pengguna memiliki akun di sistem autentikasi Anda? (Pengguna memutuskan dengan memilih YA atau TIDAK)
    1. YA : Apakah pengguna menggunakan email yang terkait dengan Akun Google-nya untuk login ke platform Anda? (Pengguna memutuskan dengan memilih YA atau TIDAK)
      1. YA : Apakah pengguna memiliki akun yang cocok di sistem autentikasi Anda? (check intent dipanggil untuk mengonfirmasi)
        1. YA : Intent get dipanggil dan akun ditautkan jika get intent berhasil ditampilkan.
        2. TIDAK : Buat Akun Baru? (Pengguna memutuskan dengan memilih YA atau TIDAK; hanya berlaku jika layanan Anda mendukung pembuatan akun)
          1. YA : Intent create dipanggil dan akun ditautkan jika intent pembuatan berhasil ditampilkan.
          2. TIDAK : Alur penautan OAuth dipicu, pengguna diarahkan ke browser mereka, dan pengguna diberi opsi untuk menautkan dengan email lain.
      2. TIDAK : Alur penautan OAuth dipicu, pengguna diarahkan ke browsernya, dan pengguna diberi opsi untuk menautkan dengan email lain.
    2. TIDAK : Apakah pengguna memiliki akun yang cocok di sistem autentikasi Anda? (check intent dipanggil untuk mengonfirmasi)
      1. YA : Intent get dipanggil dan akun ditautkan jika get intent berhasil ditampilkan.
      2. TIDAK : Jika layanan Anda mendukung pembuatan akun, create intent akan dipanggil dan akun akan ditautkan jika intent pembuatan berhasil ditampilkan. Jika pembuatan akun tidak didukung, endpoint Anda harus menampilkan error penautan HTTP 401 untuk memicu alur penautan OAuth penggantian.

Resep Penerapan

Endpoint pertukaran token Anda harus menerapkan intent check dan get yang diperlukan, dan secara opsional intent create untuk mendukung Penautan yang Disederhanakan.

Ikuti langkah-langkah berikut untuk menangani berbagai maksud:

Memeriksa akun pengguna yang sudah ada (maksud pemeriksaan)

Google memanggil endpoint pertukaran token Anda untuk memverifikasi apakah pengguna Google ada di sistem Anda. Untuk mengetahui detail parameter, lihat Maksud Penautan yang Disederhanakan.

Resep Penerapan

Untuk menangani intent check yang diperlukan, lakukan tindakan berikut:

  1. Validasi permintaan:

    • Verifikasi client_id, client_secret, dan grant_type (harus urn:ietf:params:oauth:grant-type:jwt-bearer).
    • Validasi assertion (JWT) menggunakan kriteria dalam Validasi JWT.
  2. Cari pengguna:

    • Periksa apakah ID Akun Google (sub) atau alamat email di JWT cocok dengan pengguna di database Anda.
  3. Merespons:

    • Jika ditemukan: Menampilkan HTTP 200 OK dengan {"account_found": "true"}.
    • Jika tidak ditemukan: Menampilkan HTTP 404 Not Found dengan {"account_found": "false"}.

Menangani penautan otomatis (mendapatkan intent)

Jika akun ada, Google akan memanggil endpoint Anda dengan intent=get untuk mengambil token. Untuk mengetahui detail parameter, lihat Maksud Penautan yang Disederhanakan.

Resep Penerapan

Untuk menangani intent get yang diperlukan, lakukan tindakan berikut:

  1. Validasi permintaan:

    • Verifikasi client_id, client_secret, dan grant_type.
    • Validasi assertion (JWT).
  2. Cari pengguna:

    • Verifikasi keberadaan pengguna menggunakan klaim sub atau email.
  3. Merespons:

    • Jika berhasil: Buat dan tampilkan access_token, refresh_token, dan expires_in dalam respons JSON (HTTP 200 OK).
    • Jika penautan gagal: Menampilkan HTTP 401 Unauthorized dengan {"error": "linking_error"} dan login_hint opsional untuk melakukan penggantian ke penautan OAuth standar.

Menangani pembuatan akun menggunakan Login dengan Google (intent pembuatan)

Jika layanan Anda mendukung pembuatan akun dan tidak ada akun yang ada, Google akan memanggil endpoint Anda dengan intent=create untuk membuat pengguna baru. Untuk mengetahui detail parameter, lihat Intent Penautan yang Dioptimalkan.

Resep Penerapan

Untuk menangani intent create opsional, lakukan tindakan berikut:

  1. Validasi permintaan:

    • Verifikasi client_id, client_secret, dan grant_type.
    • Validasi assertion (JWT).
  2. Verifikasi bahwa pengguna tidak ada:

    • Periksa apakah sub atau email sudah ada di database Anda.
    • Jika pengguna ada: Tampilkan HTTP 401 Unauthorized dengan {"error": "linking_error", "login_hint": "USER_EMAIL"} untuk memaksa penggantian ke penautan OAuth.
  3. Buat akun:

    • Gunakan klaim sub, email, name, dan picture dari JWT untuk membuat data pengguna baru.
  4. Respons:

    • Buat dan tampilkan token dalam respons JSON (HTTP 200 OK).

Mendapatkan Client ID Google API Anda

Anda akan diminta untuk memberikan ID Klien Google API selama proses pendaftaran Penautan Akun. Untuk mendapatkan Client ID API menggunakan project yang Anda buat saat menyelesaikan langkah-langkah penautan OAuth. Untuk melakukannya, selesaikan langkah-langkah berikut:

  1. Buka halaman Klien.
  2. Buat atau pilih project Google API.

    Jika project Anda tidak memiliki Client ID untuk Jenis aplikasi Web, klik Buat Klien untuk membuatnya. Pastikan untuk menyertakan domain situs Anda di kotak Asal JavaScript yang sah. Saat melakukan pengujian atau pengembangan lokal, Anda harus menambahkan http://localhost dan http://localhost:<port_number> ke kolom Asal JavaScript resmi.

Memvalidasi penerapan

Anda dapat memvalidasi penerapan dengan menggunakan alat OAuth 2.0 Playground.

Di alat, lakukan langkah-langkah berikut:

  1. Klik Konfigurasi untuk membuka jendela Konfigurasi OAuth 2.0.
  2. Di kolom OAuth flow, pilih Client-side.
  3. Di kolom OAuth Endpoints, pilih Custom.
  4. Tentukan endpoint OAuth 2.0 dan client ID yang Anda tetapkan ke Google di kolom yang sesuai.
  5. Di bagian Langkah 1, jangan pilih cakupan Google apa pun. Sebagai gantinya, biarkan kolom ini kosong atau ketik cakupan yang valid untuk server Anda (atau string arbitrer jika Anda tidak menggunakan cakupan OAuth). Setelah selesai, klik Izinkan API.
  6. Di bagian Langkah 2 dan Langkah 3, ikuti alur OAuth 2.0 dan verifikasi bahwa setiap langkah berfungsi sebagaimana mestinya.

Anda dapat memvalidasi penerapan dengan menggunakan alat Demo Penautan Akun Google.

Di alat, lakukan langkah-langkah berikut:

  1. Klik tombol Login dengan Google.
  2. Pilih akun yang ingin Anda tautkan.
  3. Masukkan ID layanan.
  4. Secara opsional, masukkan satu atau beberapa cakupan yang akan Anda minta aksesnya.
  5. Klik Mulai Demo.
  6. Jika diminta, konfirmasi bahwa Anda dapat menyetujui dan menolak permintaan penautan.
  7. Konfirmasi bahwa Anda dialihkan ke platform Anda.