Przegląd
Uproszczone łączenie za pomocą Logowania przez Google opartego na OAuth dodaje Logowanie przez Google do łączenia za pomocą OAuth. Zapewnia to użytkownikom Google płynne łączenie kont, a opcjonalnie także tworzenie konta, które umożliwia użytkownikowi utworzenie nowego konta w Twojej usłudze za pomocą konta Google.
Aby połączyć konta za pomocą OAuth i zalogować się przez Google, wykonaj te ogólne czynności:
- Najpierw poproś użytkownika o zgodę na dostęp do jego profilu Google.
- Użyj informacji z profilu, aby sprawdzić, czy konto użytkownika istnieje.
- W przypadku dotychczasowych użytkowników połącz konta.
- Jeśli nie możesz znaleźć odpowiednika użytkownika Google w swoim systemie uwierzytelniania, zweryfikuj token identyfikatora otrzymany od Google. Jeśli Twoja usługa obsługuje tworzenie kont, możesz utworzyć użytkownika na podstawie informacji o profilu zawartych w tokenie identyfikatora.
Rysunek 1. Łączenie kont na telefonie użytkownika za pomocą uproszczonego łączenia
Uproszczone łączenie: proces OAuth + Logowanie przez Google
Poniższy diagram sekwencji przedstawia interakcje między użytkownikiem, Google i punktem końcowym wymiany tokenów w przypadku uproszczonego łączenia.
Role i obowiązki
W tabeli poniżej znajdziesz definicje ról i obowiązków podmiotów w procesie uproszczonego łączenia.
| Użytkownik, który wykonał czynność / komponent | Rola GAL | Podmiot odpowiedzialny |
|---|---|---|
| Aplikacja / serwer Google | Klient OAuth | Uzyskuje zgodę użytkownika na logowanie się za pomocą Google, przekazuje do serwera potwierdzenia tożsamości (JWT) i bezpiecznie przechowuje uzyskane tokeny. |
| Punkt końcowy wymiany tokenów | Dostawca tożsamości / serwer autoryzacji | Weryfikuje potwierdzenia tożsamości, sprawdza, czy istnieją już konta, obsługuje wymagane intencje połączenia kont (check, get) i opcjonalną intencję create oraz wydaje tokeny na podstawie żądanych intencji. |
| Interfejs API usługi | Serwer zasobów | Umożliwia dostęp do danych użytkownika po okazaniu prawidłowego tokena dostępu. |
Wymagania dotyczące uproszczonego łączenia
- Wdróż proces podstawowego łączenia za pomocą OAuth. Usługa musi obsługiwać zgodne z OAuth 2.0 punkty końcowe autoryzacji i wymiany tokenów.
- Punkt końcowy wymiany tokenów musi obsługiwać asercje tokena sieciowego JSON (JWT) i wdrażać wymagane intencje
checkigetoraz opcjonalnie intencjęcreate.
Logika podejmowania decyzji w przypadku uproszczonego łączenia
Oto logika, która określa, jak wywoływane są intencje podczas uproszczonego procesu łączenia:
- Czy użytkownik ma konto w Twoim systemie uwierzytelniania? (Użytkownik decyduje, wybierając TAK lub NIE)
- TAK : czy użytkownik używa adresu e-mail powiązanego z kontem Google do logowania się na Twojej platformie? (Użytkownik decyduje, wybierając TAK lub NIE)
- YES : czy użytkownik ma pasujące konto w Twoim systemie uwierzytelniania? (wywoływany jest
checkzamiar, aby potwierdzić)- TAK : wywoływany jest
getintent, a konto jest łączone, jeśli funkcja get intent zwróci prawidłowy wynik. - NIE : Utworzyć nowe konto? (Użytkownik decyduje, wybierając TAK lub NIE;
dotyczy tylko usług, które umożliwiają tworzenie kont)
- YES : wywoływany jest element
createintent, a konto jest połączone, jeśli funkcja create intent zwróci wartość wskazującą powodzenie. - NIE : uruchamiany jest proces łączenia OAuth, użytkownik jest przekierowywany do przeglądarki i ma możliwość połączenia się z innym adresem e-mail.
- YES : wywoływany jest element
- TAK : wywoływany jest
- NIE : uruchamiany jest proces łączenia OAuth, użytkownik jest przekierowywany do przeglądarki i ma możliwość połączenia się z innym adresem e-mail.
- YES : czy użytkownik ma pasujące konto w Twoim systemie uwierzytelniania? (wywoływany jest
- NIE : Czy użytkownik ma pasujące konto w Twoim systemie uwierzytelniania? (wywoływany jest
checkzamiar, aby potwierdzić)- TAK : wywoływana jest
getintent, a konto jest łączone, jeśli get intent zwróci wartość. - NIE : jeśli usługa obsługuje tworzenie konta, wywoływany jest
createintent, a konto jest łączone, jeśli intent create zwraca wartość powodzenia. Jeśli tworzenie konta nie jest obsługiwane, punkt końcowy powinien zwrócić kod HTTP 401 linking_error, aby wywołać alternatywny proces łączenia OAuth.
- TAK : wywoływana jest
- TAK : czy użytkownik używa adresu e-mail powiązanego z kontem Google do logowania się na Twojej platformie? (Użytkownik decyduje, wybierając TAK lub NIE)
Przepis na wdrożenie
Punkt końcowy wymiany tokenów musi obsługiwać wymagane intencje check i get oraz opcjonalnie intencję create, aby obsługiwać uproszczone łączenie.
Aby obsłużyć różne intencje, wykonaj te czynności:
Sprawdzanie, czy użytkownik ma już konto (intencja check)
Google wywołuje Twój punkt końcowy wymiany tokenów, aby sprawdzić, czy użytkownik Google istnieje w Twoim systemie. Szczegóły parametrów znajdziesz w sekcji Uproszczone intencje łączenia.
Przepis na implementację
Aby obsłużyć wymaganą intencję check, wykonaj te czynności:
Sprawdź poprawność żądania:
- Sprawdź
client_id,client_secretigrant_type(musi to byćurn:ietf:params:oauth:grant-type:jwt-bearer). - Sprawdź
assertion(JWT) zgodnie z kryteriami opisanymi w sekcji Weryfikacja JWT.
- Sprawdź
Wyszukaj użytkownika:
- Sprawdź, czy identyfikator konta Google (
sub) lub adres e-mail w tokenie JWT pasuje do użytkownika w Twojej bazie danych.
- Sprawdź, czy identyfikator konta Google (
Odpowiedz:
- Jeśli użytkownik zostanie znaleziony: zwróć kod HTTP
200 OKz wartością{"account_found": "true"}. - Jeśli nie znaleziono: zwróć kod HTTP
404 Not Foundz{"account_found": "false"}.
- Jeśli użytkownik zostanie znaleziony: zwróć kod HTTP
Obsługa automatycznego łączenia (pobieranie intencji)
Jeśli konto istnieje, Google wywołuje Twój punkt końcowy za pomocą intent=get, aby pobrać tokeny. Szczegółowe informacje o parametrach znajdziesz w sekcji Streamlined Linking
Intents (w języku angielskim).
Przepis na wdrożenie
Aby obsłużyć wymagany zamiar get, wykonaj te czynności:
Sprawdź prośbę:
- Sprawdź
client_id,client_secretigrant_type. - Sprawdź
assertion(JWT).
- Sprawdź
Wyszukaj użytkownika:
- Sprawdź, czy użytkownik istnieje, korzystając z deklaracji
sublubemail.
- Sprawdź, czy użytkownik istnieje, korzystając z deklaracji
Odpowiedz:
- W przypadku powodzenia: wygeneruj i zwróć
access_token,refresh_tokeniexpires_inw odpowiedzi JSON (HTTP200 OK). - Jeśli łączenie się nie powiedzie: zwróć kod HTTP
401 Unauthorizedz parametrami{"error": "linking_error"}i opcjonalnielogin_hint, aby wrócić do standardowego łączenia OAuth.
- W przypadku powodzenia: wygeneruj i zwróć
Obsługa tworzenia konta za pomocą funkcji Zaloguj się przez Google (intencja utworzenia)
Jeśli usługa obsługuje tworzenie kont i nie ma konta, Google wywołuje punkt końcowy z parametrem intent=create, aby utworzyć nowego użytkownika. Szczegółowe informacje o parametrach znajdziesz w sekcji Streamlined Linking
Intents (w języku angielskim).
Przepis na wdrożenie
Aby obsłużyć opcjonalny zamiar create, wykonaj te czynności:
Sprawdź prośbę:
- Sprawdź
client_id,client_secretigrant_type. - Sprawdź
assertion(JWT).
- Sprawdź
Sprawdź, czy użytkownik nie istnieje:
- Sprawdź, czy
sublubemailznajduje się już w Twojej bazie danych. - Jeśli użytkownik istnieje: zwróć kod HTTP
401 Unauthorizedz parametrem{"error": "linking_error", "login_hint": "USER_EMAIL"}, aby wymusić przejście na łączenie za pomocą OAuth.
- Sprawdź, czy
Utwórz konto:
- Użyj roszczeń
sub,email,nameipicturez tokena JWT, aby utworzyć nowy rekord użytkownika.
- Użyj roszczeń
Odpowiedz:
- Generowanie i zwracanie tokenów w odpowiedzi JSON (HTTP
200 OK).
- Generowanie i zwracanie tokenów w odpowiedzi JSON (HTTP
Uzyskiwanie identyfikatora klienta Google API
Podczas procesu rejestracji łączenia konta musisz podać identyfikator klienta interfejsu Google API. Aby uzyskać identyfikator klienta interfejsu API, użyj projektu utworzonego podczas wykonywania czynności związanych z łączeniem OAuth. Aby to zrobić, wykonaj te czynności:
- Otwórz stronę Klienci.
Utwórz lub wybierz projekt interfejsów API Google.
Jeśli w projekcie nie ma identyfikatora klienta dla typu aplikacji internetowej, kliknij Utwórz klienta, aby go utworzyć. W polu Autoryzowane źródła JavaScriptu podaj domenę swojej witryny. Podczas przeprowadzania testów lokalnych lub tworzenia aplikacji musisz dodać zarówno
http://localhost, jak ihttp://localhost:<port_number>do pola Autoryzowane źródła JavaScript.
Sprawdzanie poprawności implementacji
Implementację możesz zweryfikować za pomocą narzędzia OAuth 2.0 Playground.
W narzędziu wykonaj te czynności:
- Kliknij Konfiguracja , aby otworzyć okno Konfiguracja OAuth 2.0.
- W polu OAuth flow (Proces OAuth) wybierz Client-side (Po stronie klienta).
- W polu Punkty końcowe OAuth wybierz Niestandardowe.
- W odpowiednich polach podaj punkt końcowy OAuth 2.0 i identyfikator klienta przypisany do Google.
- W sekcji Krok 1 nie wybieraj żadnych zakresów Google. Zamiast tego pozostaw to pole puste lub wpisz zakres ważny dla Twojego serwera (albo dowolny ciąg znaków, jeśli nie używasz zakresów OAuth). Gdy skończysz, kliknij Autoryzuj interfejsy API.
- W sekcjach Krok 2 i Krok 3 przejdź przez przepływ OAuth 2.0 i sprawdź, czy każdy krok działa zgodnie z oczekiwaniami.
Możesz sprawdzić, czy implementacja jest prawidłowa, korzystając z narzędzia Google Account Linking Demo.
W narzędziu wykonaj te czynności:
- Kliknij przycisk Zaloguj się przez Google.
- Wybierz konto, które chcesz połączyć.
- Wpisz identyfikator usługi.
- Opcjonalnie wpisz co najmniej jeden zakres, do którego chcesz uzyskać dostęp.
- Kliknij Uruchom wersję pokazową.
- Gdy pojawi się komunikat, potwierdź, że możesz wyrazić zgodę na prośbę o połączenie lub ją odrzucić.
- Sprawdź, czy nastąpiło przekierowanie na Twoją platformę.