OAuth ve Google ile Oturum Açma ile Basitleştirilmiş Bağlantı

Genel Bakış

OAuth tabanlı Google ile oturum açma ve basitleştirilmiş bağlantı oluşturma, OAuth bağlantısının üzerine Google ile oturum açma özelliğini ekler. Bu, Google kullanıcıları için sorunsuz bir bağlantı deneyimi sağlar ve isteğe bağlı olarak hesap oluşturmayı etkinleştirir. Bu sayede kullanıcı, Google Hesabı'nı kullanarak hizmetinizde yeni bir hesap oluşturabilir.

OAuth ve Google ile oturum açma kullanarak hesap bağlama işlemini gerçekleştirmek için aşağıdaki genel adımları uygulayın:

  1. Öncelikle kullanıcıdan Google profiline erişim izni vermesini isteyin.
  2. Kullanıcı hesabının mevcut olup olmadığını kontrol etmek için profilindeki bilgileri kullanın.
  3. Mevcut kullanıcılar için hesapları bağlayın.
  4. Kimlik doğrulama sisteminizde Google kullanıcısıyla eşleşen bir kullanıcı bulamıyorsanız Google'dan alınan kimlik jetonunu doğrulayın. Hizmetiniz hesap oluşturmayı destekliyorsa kimlik jetonunda yer alan profil bilgilerine göre kullanıcı oluşturabilirsiniz.
Bu şekil, kullanıcının basitleştirilmiş bağlantı akışını kullanarak Google Hesabı'nı bağlama adımlarını gösterir. İlk ekran görüntüsünde, kullanıcının bağlantı oluşturmak için uygulamanızı nasıl seçebileceği gösterilmektedir. İkinci ekran görüntüsü, kullanıcının hizmetinizde mevcut bir hesabı olup olmadığını onaylamasına olanak tanır. Üçüncü ekran görüntüsünde, kullanıcı bağlamak istediği Google Hesabı'nı seçebilir. Dördüncü ekran görüntüsünde, kullanıcının Google Hesabı'nı uygulamanıza bağlama onayı gösteriliyor. Beşinci ekran görüntüsünde ise Google uygulamasında başarıyla bağlanmış bir kullanıcı hesabı gösteriliyor.
Kolay Bağlama ile kullanıcının telefonunda Hesap Bağlama

Şekil 1. Basitleştirilmiş Bağlantı ile kullanıcının telefonunda hesap bağlama

Basitleştirilmiş Bağlama: OAuth + Google ile Oturum Açma Akışı

Aşağıdaki sıra şeması, Basitleştirilmiş Bağlantı için Kullanıcı, Google ve jeton değişimi uç noktanız arasındaki etkileşimleri ayrıntılı olarak açıklar.

Kullanıcı Google Uygulaması / Sunucu Jetonunuz Exchange Uç Noktası API'niz 1. Kullanıcı, bağlantı oluşturma işlemini başlatır 2. Google ile oturum açma isteğinde bulunun 3. Google ile oturum açma 4. check intent (JWT Assertion) 5. account_found: true/false If account found: 6. get intent If no account: 6. create intent 7. access_token, refresh_token 8. Kullanıcı jetonlarını saklama 9. Kullanıcı kaynaklarına erişme
Şekil 2. Basitleştirilmiş bağlantı akışındaki etkinlik sırası.

Roller ve sorumluluklar

Aşağıdaki tabloda, basitleştirilmiş bağlantı oluşturma akışındaki aktörlerin rolleri ve sorumlulukları tanımlanmaktadır.

İşlemi gerçekleştiren / Bileşen GAL Rolü Sorumluluklar
Google Uygulaması / Sunucusu OAuth İstemcisi Google ile oturum açma için kullanıcı izni alır, kimlik onaylarını (JWT) sunucunuza iletir ve sonuç jetonlarını güvenli bir şekilde depolar.
Jeton Değişimi Uç Noktanız Kimlik sağlayıcı / yetkilendirme sunucusu Kimlik onaylarını doğrular, mevcut hesapları kontrol eder, gerekli hesap bağlama amaçlarını (check, get) ve isteğe bağlı create amacını işler ve istenen amaçlara göre jetonlar verir.
Hizmet API'niz Kaynak Sunucusu Geçerli bir erişim jetonu sunulduğunda kullanıcı verilerine erişim sağlar.

Basitleştirilmiş bağlantı oluşturma için şartlar

  • Temel OAuth bağlantısı akışını uygulayın. Hizmetiniz, OAuth 2.0 uyumlu yetkilendirme ve jeton değişimi uç noktalarını desteklemelidir.
  • Jeton değişimi uç noktanız JSON Web Token (JWT) onaylarını desteklemeli, gerekli check ve get amaçlarını, isteğe bağlı olarak da create amacını uygulamalıdır.

Basitleştirilmiş Bağlantı İçin Karar Mantığı

Aşağıdaki mantık, Basitleştirilmiş Bağlantı oluşturma akışı sırasında amaçların nasıl çağrılacağını belirler:

  1. Kullanıcının kimlik doğrulama sisteminizde hesabı var mı? (Kullanıcı EVET veya HAYIR'ı seçerek karar verir)
    1. EVET : Kullanıcı, platformunuzda oturum açmak için Google Hesabı ile ilişkili e-posta adresini kullanıyor mu? (Kullanıcı EVET veya HAYIR'ı seçerek karar verir)
      1. EVET : Kullanıcının kimlik doğrulama sisteminizde eşleşen bir hesabı var mı? (Onaylamak için check amacı çağrılır)
        1. EVET : get intent çağrılır ve get intent başarılı bir şekilde döndürülürse hesap bağlanır.
        2. HAYIR : Yeni Hesap Oluşturulsun mu? (Kullanıcı EVET veya HAYIR'ı seçerek karar verir; yalnızca hizmetiniz hesap oluşturmayı destekliyorsa geçerlidir)
          1. EVET : create intent çağrılır ve create intent başarılı bir şekilde döndürülürse hesap bağlanır.
          2. HAYIR : OAuth bağlantı akışı tetiklenir, kullanıcı tarayıcısına yönlendirilir ve farklı bir e-posta adresiyle bağlantı oluşturma seçeneği sunulur.
      2. HAYIR : OAuth bağlantı akışı tetiklenir, kullanıcı tarayıcısına yönlendirilir ve farklı bir e-postayla bağlantı oluşturma seçeneği sunulur.
    2. HAYIR : Kullanıcının kimlik doğrulama sisteminizde eşleşen bir hesabı var mı? (Onaylamak için check amacı çağrılır)
      1. EVET : getintent çağrılır ve get intent başarılı bir şekilde döndürülürse hesap bağlanır.
      2. HAYIR : Hizmetiniz hesap oluşturmayı destekliyorsa create amacı çağrılır ve oluşturma amacı başarılı bir şekilde döndürülürse hesap bağlanır. Hesap oluşturma desteklenmiyorsa yedek OAuth bağlantı akışını tetiklemek için uç noktanız HTTP 401 linking_error döndürmelidir.

Uygulama Tarifi

Jeton değişimi uç noktanız, gerekli check ve get amaçlarını ve isteğe bağlı olarak Basitleştirilmiş Bağlantı'yı desteklemek için create amacını uygulamalıdır.

Farklı amaçları işlemek için aşağıdaki adımları uygulayın:

Check for an existing user account (check intent)

Google calls your token exchange endpoint to verify if the Google user exists in your system. For parameter details, see Streamlined Linking Intents.

Implementation Recipe

To handle the required check intent, perform the following actions:

  1. Validate the request:

    • Verify client_id, client_secret, and grant_type (must be urn:ietf:params:oauth:grant-type:jwt-bearer).
    • Validate the assertion (JWT) using the criteria in JWT Validation.
  2. Lookup user:

    • Check if the Google Account ID (sub) or email address in the JWT matches a user in your database.
  3. Respond:

    • If found: Return HTTP 200 OK with {"account_found": "true"}.
    • If not found: Return HTTP 404 Not Found with {"account_found": "false"}.

Handle automatic linking (get intent)

If the account exists, Google calls your endpoint with intent=get to retrieve tokens. For parameter details, see Streamlined Linking Intents.

Implementation Recipe

To handle the required get intent, perform the following actions:

  1. Validate the request:

    • Verify client_id, client_secret, and grant_type.
    • Validate the assertion (JWT).
  2. Lookup user:

    • Verify the user exists using the sub or email claim.
  3. Respond:

    • If successful: Generate and return access_token, refresh_token, and expires_in in a JSON response (HTTP 200 OK).
    • If linking fails: Return HTTP 401 Unauthorized with {"error": "linking_error"} and an optional login_hint to fall back to standard OAuth linking.

Handle account creation using Sign in with Google (create intent)

If your service supports account creation and no account exists, Google calls your endpoint with intent=create to create a new user. For parameter details, see Streamlined Linking Intents.

Implementation Recipe

To handle the optional create intent, perform the following actions:

  1. Validate the request:

    • Verify client_id, client_secret, and grant_type.
    • Validate the assertion (JWT).
  2. Verify user does not exist:

    • Check if the sub or email is already in your database.
    • If the user does exist: Return HTTP 401 Unauthorized with {"error": "linking_error", "login_hint": "USER_EMAIL"} to force fallback to OAuth linking.
  3. Create account:

    • Use the sub, email, name, and picture claims from the JWT to create a new user record.
  4. Respond:

    • Generate and return tokens in a JSON response (HTTP 200 OK).

Google API'si istemci kimliğinizi alma

Hesap bağlama kayıt işlemi sırasında Google API istemci kimliğinizi sağlamanız gerekir. OAuth bağlantısı oluşturma adımlarını tamamlarken oluşturduğunuz projeyi kullanarak API istemci kimliğinizi almak için. Bunun için aşağıdaki adımları uygulayın:

  1. Müşteriler sayfasına gidin.
  2. Bir Google API'leri projesi oluşturun veya seçin.

    Projenizde Web uygulaması türü için istemci kimliği yoksa istemci kimliği oluşturmak üzere İstemci oluştur'u tıklayın. Sitenizin alan adını Yetkilendirilmiş JavaScript kaynakları kutusuna eklediğinizden emin olun. Yerel testler veya geliştirme yaparken http://localhost ve http://localhost:<port_number> öğelerini Yetkilendirilmiş JavaScript kaynakları alanına eklemeniz gerekir.

Uygulamanızı doğrulama

OAuth 2.0 Playground aracını kullanarak uygulamanızı doğrulayabilirsiniz.

Araçta aşağıdaki adımları uygulayın:

  1. OAuth 2.0 Yapılandırma penceresini açmak için Yapılandırma'yı tıklayın.
  2. OAuth akışı alanında İstemci tarafı'nı seçin.
  3. OAuth Uç Noktaları alanında Özel'i seçin.
  4. OAuth 2.0 uç noktanızı ve Google'a atadığınız istemci kimliğini ilgili alanlarda belirtin.
  5. 1. adım bölümünde herhangi bir Google kapsamı seçmeyin. Bunun yerine bu alanı boş bırakın veya sunucunuz için geçerli bir kapsam yazın (OAuth kapsamları kullanmıyorsanız rastgele bir dize yazabilirsiniz). İşiniz bittiğinde API'leri yetkilendir'i tıklayın.
  6. 2. adım ve 3. adım bölümlerinde OAuth 2.0 akışını inceleyin ve her adımın beklendiği gibi çalıştığını doğrulayın.

Uygulamanızı Google Hesabı Bağlantısı Demosu aracını kullanarak doğrulayabilirsiniz.

Araçta aşağıdaki adımları uygulayın:

  1. Google ile oturum aç düğmesini tıklayın.
  2. Bağlamak istediğiniz hesabı seçin.
  3. Hizmet kimliğini girin.
  4. İsteğe bağlı olarak, erişim isteğinde bulunacağınız bir veya daha fazla kapsam girin.
  5. Start Demo'yu (Demoyu Başlat) tıklayın.
  6. İstendiğinde, bağlantı isteğini onaylayabileceğinizi ve reddedebileceğinizi onaylayın.
  7. Platformunuza yönlendirildiğinizi onaylayın.