Uproszczone łączenie za pomocą protokołu OAuth i Logowania przez Google

Przegląd

Uproszczone łączenie za pomocą Logowania przez Google opartego na OAuth dodaje Logowanie przez Google do łączenia za pomocą OAuth. Zapewnia to użytkownikom Google płynne łączenie kont, a opcjonalnie także tworzenie konta, które umożliwia użytkownikowi utworzenie nowego konta w Twojej usłudze za pomocą konta Google.

Aby połączyć konta za pomocą OAuth i zalogować się przez Google, wykonaj te ogólne czynności:

  1. Najpierw poproś użytkownika o zgodę na dostęp do jego profilu Google.
  2. Użyj informacji z profilu, aby sprawdzić, czy konto użytkownika istnieje.
  3. W przypadku dotychczasowych użytkowników połącz konta.
  4. Jeśli nie możesz znaleźć odpowiednika użytkownika Google w swoim systemie uwierzytelniania, zweryfikuj token identyfikatora otrzymany od Google. Jeśli Twoja usługa obsługuje tworzenie kont, możesz utworzyć użytkownika na podstawie informacji o profilu zawartych w tokenie identyfikatora.
Ilustracja przedstawiająca kroki, które użytkownik musi wykonać, aby połączyć konto Google za pomocą uproszczonego procesu łączenia. Pierwszy zrzut ekranu pokazuje, jak użytkownik może wybrać Twoją aplikację do połączenia. Drugi zrzut ekranu pozwala użytkownikowi potwierdzić, czy ma już konto w Twojej usłudze. Na trzecim zrzucie ekranu użytkownik może wybrać konto Google, które chce połączyć. Czwarty zrzut ekranu przedstawia potwierdzenie połączenia konta Google z aplikacją. Piąty zrzut ekranu pokazuje połączone konto użytkownika w aplikacji Google.
Łączenie konta na telefonie użytkownika za pomocą uproszczonego łączenia

Rysunek 1. Łączenie kont na telefonie użytkownika za pomocą uproszczonego łączenia

Uproszczone łączenie: proces OAuth + Logowanie przez Google

Poniższy diagram sekwencji przedstawia interakcje między użytkownikiem, Google i punktem końcowym wymiany tokenów w przypadku uproszczonego łączenia.

Użytkownik Aplikacja / serwer Google Twój token Punkt wymiany Twój interfejs API 1. Użytkownik inicjuje połączenie 2. Poproś o zalogowanie się przez Google 3. Zaloguj się za pomocą Google 4. sprawdź intencję (asercja JWT) 5. account_found: true/false Jeśli konto zostało znalezione: 6. pobierz intencję Jeśli konto nie zostało znalezione: 6. utwórz intencję 7. access_token, refresh_token 8. Przechowywanie tokenów użytkowników 9. Dostęp do materiałów dla użytkowników
Rysunek 2. Sekwencja zdarzeń w procesie uproszczonego łączenia
.

Role i obowiązki

W tabeli poniżej znajdziesz definicje ról i obowiązków podmiotów w procesie uproszczonego łączenia.

Użytkownik, który wykonał czynność / komponent Rola GAL Podmiot odpowiedzialny
Aplikacja / serwer Google Klient OAuth Uzyskuje zgodę użytkownika na logowanie się za pomocą Google, przekazuje do serwera potwierdzenia tożsamości (JWT) i bezpiecznie przechowuje uzyskane tokeny.
Punkt końcowy wymiany tokenów Dostawca tożsamości / serwer autoryzacji Weryfikuje potwierdzenia tożsamości, sprawdza, czy istnieją już konta, obsługuje wymagane intencje połączenia kont (check, get) i opcjonalną intencję create oraz wydaje tokeny na podstawie żądanych intencji.
Interfejs API usługi Serwer zasobów Umożliwia dostęp do danych użytkownika po okazaniu prawidłowego tokena dostępu.

Wymagania dotyczące uproszczonego łączenia

Logika podejmowania decyzji w przypadku uproszczonego łączenia

Oto logika, która określa, jak wywoływane są intencje podczas uproszczonego procesu łączenia:

  1. Czy użytkownik ma konto w Twoim systemie uwierzytelniania? (Użytkownik decyduje, wybierając TAK lub NIE)
    1. TAK : czy użytkownik używa adresu e-mail powiązanego z kontem Google do logowania się na Twojej platformie? (Użytkownik decyduje, wybierając TAK lub NIE)
      1. YES : czy użytkownik ma pasujące konto w Twoim systemie uwierzytelniania? (wywoływany jest check zamiar, aby potwierdzić)
        1. TAK : wywoływany jest get intent, a konto jest łączone, jeśli funkcja get intent zwróci prawidłowy wynik.
        2. NIE : Utworzyć nowe konto? (Użytkownik decyduje, wybierając TAK lub NIE; dotyczy tylko usług, które umożliwiają tworzenie kont)
          1. YES : wywoływany jest element create intent, a konto jest połączone, jeśli funkcja create intent zwróci wartość wskazującą powodzenie.
          2. NIE : uruchamiany jest proces łączenia OAuth, użytkownik jest przekierowywany do przeglądarki i ma możliwość połączenia się z innym adresem e-mail.
      2. NIE : uruchamiany jest proces łączenia OAuth, użytkownik jest przekierowywany do przeglądarki i ma możliwość połączenia się z innym adresem e-mail.
    2. NIE : Czy użytkownik ma pasujące konto w Twoim systemie uwierzytelniania? (wywoływany jest check zamiar, aby potwierdzić)
      1. TAK : wywoływana jest get intent, a konto jest łączone, jeśli get intent zwróci wartość.
      2. NIE : jeśli usługa obsługuje tworzenie konta, wywoływany jest createintent, a konto jest łączone, jeśli intent create zwraca wartość powodzenia. Jeśli tworzenie konta nie jest obsługiwane, punkt końcowy powinien zwrócić kod HTTP 401 linking_error, aby wywołać alternatywny proces łączenia OAuth.

Przepis na wdrożenie

Punkt końcowy wymiany tokenów musi obsługiwać wymagane intencje checkget oraz opcjonalnie intencję create, aby obsługiwać uproszczone łączenie.

Aby obsłużyć różne intencje, wykonaj te czynności:

Sprawdzanie, czy użytkownik ma już konto (intencja check)

Google wywołuje Twój punkt końcowy wymiany tokenów, aby sprawdzić, czy użytkownik Google istnieje w Twoim systemie. Szczegóły parametrów znajdziesz w sekcji Uproszczone intencje łączenia.

Przepis na implementację

Aby obsłużyć wymaganą intencję check, wykonaj te czynności:

  1. Sprawdź poprawność żądania:

    • Sprawdź client_id, client_secret i grant_type (musi to być urn:ietf:params:oauth:grant-type:jwt-bearer).
    • Sprawdź assertion (JWT) zgodnie z kryteriami opisanymi w sekcji Weryfikacja JWT.
  2. Wyszukaj użytkownika:

    • Sprawdź, czy identyfikator konta Google (sub) lub adres e-mail w tokenie JWT pasuje do użytkownika w Twojej bazie danych.
  3. Odpowiedz:

    • Jeśli użytkownik zostanie znaleziony: zwróć kod HTTP 200 OK z wartością {"account_found": "true"}.
    • Jeśli nie znaleziono: zwróć kod HTTP 404 Not Found z {"account_found": "false"}.

Obsługa automatycznego łączenia (pobieranie intencji)

Jeśli konto istnieje, Google wywołuje Twój punkt końcowy za pomocą intent=get, aby pobrać tokeny. Szczegółowe informacje o parametrach znajdziesz w sekcji Streamlined Linking Intents (w języku angielskim).

Przepis na wdrożenie

Aby obsłużyć wymagany zamiar get, wykonaj te czynności:

  1. Sprawdź prośbę:

    • Sprawdź client_id, client_secretgrant_type.
    • Sprawdź assertion (JWT).
  2. Wyszukaj użytkownika:

    • Sprawdź, czy użytkownik istnieje, korzystając z deklaracji sub lub email.
  3. Odpowiedz:

    • W przypadku powodzenia: wygeneruj i zwróć access_token, refresh_tokenexpires_in w odpowiedzi JSON (HTTP 200 OK).
    • Jeśli łączenie się nie powiedzie: zwróć kod HTTP 401 Unauthorized z parametrami {"error": "linking_error"} i opcjonalnie login_hint, aby wrócić do standardowego łączenia OAuth.

Obsługa tworzenia konta za pomocą funkcji Zaloguj się przez Google (intencja utworzenia)

Jeśli usługa obsługuje tworzenie kont i nie ma konta, Google wywołuje punkt końcowy z parametrem intent=create, aby utworzyć nowego użytkownika. Szczegółowe informacje o parametrach znajdziesz w sekcji Streamlined Linking Intents (w języku angielskim).

Przepis na wdrożenie

Aby obsłużyć opcjonalny zamiar create, wykonaj te czynności:

  1. Sprawdź prośbę:

    • Sprawdź client_id, client_secretgrant_type.
    • Sprawdź assertion (JWT).
  2. Sprawdź, czy użytkownik nie istnieje:

    • Sprawdź, czy sub lub email znajduje się już w Twojej bazie danych.
    • Jeśli użytkownik istnieje: zwróć kod HTTP 401 Unauthorized z parametrem {"error": "linking_error", "login_hint": "USER_EMAIL"}, aby wymusić przejście na łączenie za pomocą OAuth.
  3. Utwórz konto:

    • Użyj roszczeń sub, email, namepicture z tokena JWT, aby utworzyć nowy rekord użytkownika.
  4. Odpowiedz:

    • Generowanie i zwracanie tokenów w odpowiedzi JSON (HTTP 200 OK).

Uzyskiwanie identyfikatora klienta Google API

Podczas procesu rejestracji łączenia konta musisz podać identyfikator klienta interfejsu Google API. Aby uzyskać identyfikator klienta interfejsu API, użyj projektu utworzonego podczas wykonywania czynności związanych z łączeniem OAuth. Aby to zrobić, wykonaj te czynności:

  1. Otwórz stronę Klienci.
  2. Utwórz lub wybierz projekt interfejsów API Google.

    Jeśli w projekcie nie ma identyfikatora klienta dla typu aplikacji internetowej, kliknij Utwórz klienta, aby go utworzyć. W polu Autoryzowane źródła JavaScriptu podaj domenę swojej witryny. Podczas przeprowadzania testów lokalnych lub tworzenia aplikacji musisz dodać zarówno http://localhost, jak i http://localhost:<port_number> do pola Autoryzowane źródła JavaScript.

Sprawdzanie poprawności implementacji

Implementację możesz zweryfikować za pomocą narzędzia OAuth 2.0 Playground.

W narzędziu wykonaj te czynności:

  1. Kliknij Konfiguracja , aby otworzyć okno Konfiguracja OAuth 2.0.
  2. W polu OAuth flow (Proces OAuth) wybierz Client-side (Po stronie klienta).
  3. W polu Punkty końcowe OAuth wybierz Niestandardowe.
  4. W odpowiednich polach podaj punkt końcowy OAuth 2.0 i identyfikator klienta przypisany do Google.
  5. W sekcji Krok 1 nie wybieraj żadnych zakresów Google. Zamiast tego pozostaw to pole puste lub wpisz zakres ważny dla Twojego serwera (albo dowolny ciąg znaków, jeśli nie używasz zakresów OAuth). Gdy skończysz, kliknij Autoryzuj interfejsy API.
  6. W sekcjach Krok 2Krok 3 przejdź przez przepływ OAuth 2.0 i sprawdź, czy każdy krok działa zgodnie z oczekiwaniami.

Możesz sprawdzić, czy implementacja jest prawidłowa, korzystając z narzędzia Google Account Linking Demo.

W narzędziu wykonaj te czynności:

  1. Kliknij przycisk Zaloguj się przez Google.
  2. Wybierz konto, które chcesz połączyć.
  3. Wpisz identyfikator usługi.
  4. Opcjonalnie wpisz co najmniej jeden zakres, do którego chcesz uzyskać dostęp.
  5. Kliknij Uruchom wersję pokazową.
  6. Gdy pojawi się komunikat, potwierdź, że możesz wyrazić zgodę na prośbę o połączenie lub ją odrzucić.
  7. Sprawdź, czy nastąpiło przekierowanie na Twoją platformę.