OAuth और 'Google से साइन इन करें' सुविधा का इस्तेमाल करके, आसानी से खाता लिंक करना

खास जानकारी

OAuth-आधारित, Google से साइन इन करने की सुविधा को बेहतर तरीके से लिंक करने से, Google से साइन इन करने की सुविधा के साथ-साथ, OAuth लिंक करने की सुविधा भी मिलती है. इससे, Google के उपयोगकर्ताओं को खाते लिंक करने का बेहतर अनुभव मिलता है. साथ ही, खाते बनाने की सुविधा भी मिलती है. इस सुविधा की मदद से, उपयोगकर्ता अपने Google खाते का इस्तेमाल करके, आपकी सेवा पर नया खाता बना सकता है.

OAuth और Google से साइन इन करने की सुविधा की मदद से, खाते लिंक करने के लिए, यह सामान्य तरीका अपनाएं:

  1. सबसे पहले, उपयोगकर्ता से उसकी Google प्रोफ़ाइल को ऐक्सेस करने की अनुमति मांगें.
  2. उसकी प्रोफ़ाइल में मौजूद जानकारी का इस्तेमाल करके, यह देखें कि उपयोगकर्ता का खाता मौजूद है या नहीं.
  3. मौजूदा उपयोगकर्ताओं के लिए, खाते लिंक करें.
  4. अगर आपको अपने ऑथेंटिकेशन सिस्टम में, Google के उपयोगकर्ता का खाता नहीं मिलता है, तो Google से मिले आईडी टोकन की पुष्टि करें. अगर आपकी सेवा, खाते बनाने की सुविधा देती है, तो आईडी टोकन में मौजूद प्रोफ़ाइल की जानकारी के आधार पर, उपयोगकर्ता का खाता बनाया जा सकता है.
इस इमेज में, उपयोगकर्ता के लिए Google खाते को लिंक करने का तरीका दिखाया गया है. इसके लिए, लिंक करने की आसान प्रोसेस का इस्तेमाल किया गया है. पहले स्क्रीनशॉट में दिखाया गया है कि कोई उपयोगकर्ता, लिंक करने के लिए आपका ऐप्लिकेशन कैसे चुन सकता है. दूसरे स्क्रीनशॉट से, उपयोगकर्ता यह पुष्टि कर सकता है कि आपकी सेवा पर उसका कोई मौजूदा खाता है या नहीं. तीसरे स्क्रीनशॉट में, उपयोगकर्ता को वह Google खाता चुनने का विकल्प मिलता है जिसे उसे लिंक करना है. चौथे स्क्रीनशॉट में, Google खाते को आपके ऐप्लिकेशन से लिंक करने की पुष्टि दिखाई गई है. पांचवें स्क्रीनशॉट में, Google ऐप्लिकेशन में उपयोगकर्ता का लिंक किया गया खाता दिखाया गया है.
बेहतर तरीके से लिंक करने की सुविधा की मदद से, उपयोगकर्ता के फ़ोन पर खाते लिंक करना

पहली इमेज. बेहतर तरीके से लिंक करने की सुविधा की मदद से, उपयोगकर्ता के फ़ोन पर खाते लिंक करना

बेहतर तरीके से लिंक करने की सुविधा: OAuth + Google से साइन इन करने की सुविधा का फ़्लो

यहां दिए गए क्रम के डायग्राम में, बेहतर तरीके से लिंक करने की सुविधा के लिए, उपयोगकर्ता, Google, और आपके टोकन एक्सचेंज एंडपॉइंट के बीच होने वाली बातचीत के बारे में बताया गया है.

User Google App / Server Your Token Exchange Endpoint Your API 1. User initiates linking 2. Request Sign in with Google 3. Sign in with Google 4. check intent (JWT Assertion) 5. account_found: true/false If account found: 6. get intent If no account: 6. create intent 7. access_token, refresh_token 8. Store user tokens 9. Access user resources
Figure 2. बेहतर तरीके से लिंक करने की सुविधा के फ़्लो में होने वाले इवेंट का क्रम.

भूमिकाएं और ज़िम्मेदारियां

यहां दी गई टेबल में, बेहतर तरीके से लिंक करने की सुविधा के फ़्लो में शामिल लोगों की भूमिकाओं और ज़िम्मेदारियों के बारे में बताया गया है.

व्यक्ति / कॉम्पोनेंट जीएएल की भूमिका ज़िम्मेदारियां
Google ऐप्लिकेशन / सर्वर OAuth क्लाइंट Google से साइन इन करने की सुविधा के लिए, उपयोगकर्ता की अनुमति लेता है. साथ ही, पहचान से जुड़े दावे (जेडब्लयूटी) आपके सर्वर को पास करता है और नतीजतन मिलने वाले टोकन को सुरक्षित तरीके से सेव करता है.
आपका टोकन एक्सचेंज एंडपॉइंट आइडेंटिटी प्रोवाइडर / ऑथराइज़ेशन सर्वर पहचान से जुड़े दावों की पुष्टि करता है, मौजूदा खातों की जांच करता है, खाते लिंक करने के लिए ज़रूरी इंटेंट (check, get) और वैकल्पिक create इंटेंट को मैनेज करता है. साथ ही, अनुरोध किए गए इंटेंट के आधार पर टोकन जारी करता है.
आपकी सेवा का एपीआई रिसोर्स सर्वर वैलिड ऐक्सेस टोकन मिलने पर, उपयोगकर्ता के डेटा का ऐक्सेस देता है.

बेहतर तरीके से लिंक करने की सुविधा के लिए ज़रूरी शर्तें

  • OAuth लिंक करने की सुविधा का बुनियादी फ़्लो लागू करें. आपकी सेवा, OAuth 2.0 के मुताबिक ऑथराइज़ेशन और टोकन एक्सचेंज एंडपॉइंट के साथ काम करनी चाहिए.
  • आपके टोकन एक्सचेंज एंडपॉइंट में, JSON वेब टोकन (जेडब्लयूटी) के दावे शामिल होने चाहिए. साथ ही, इसमें check और get इंटेंट लागू होने चाहिए. इसके अलावा, इसमें create इंटेंट भी लागू किया जा सकता है.

बेहतर तरीके से लिंक करने की सुविधा के लिए, फ़ैसले लेने का आधार

यहां दिए गए लॉजिक से यह तय होता है कि बेहतर तरीके से लिंक करने की सुविधा के फ़्लो के दौरान, इंटेंट को कैसे कॉल किया जाता है:

  1. क्या उपयोगकर्ता का खाता, आपके ऑथेंटिकेशन सिस्टम में मौजूद है? (उपयोगकर्ता, हां या नहीं चुनकर फ़ैसला लेता है)
    1. हां : क्या उपयोगकर्ता, आपके प्लैटफ़ॉर्म पर साइन इन करने के लिए, अपने Google खाते से जुड़े ईमेल पते का इस्तेमाल करता है? (उपयोगकर्ता, हां या नहीं चुनकर फ़ैसला लेता है)
      1. हां : क्या उपयोगकर्ता का खाता, आपके ऑथेंटिकेशन सिस्टम में मौजूद है? (check इंटेंट की पुष्टि करने के लिए कॉल किया जाता है)
        1. हां : get इंटेंट को कॉल किया जाता है. अगर get इंटेंट, सही तरीके से काम करता है, तो खाता लिंक हो जाता है.
        2. क्या नया खाता बनाना है? (उपयोगकर्ता, हां या नहीं चुनकर फ़ैसला लेता है. यह सुविधा सिर्फ़ तब उपलब्ध होती है, जब आपकी सेवा, खाते बनाने की सुविधा देती हो)
          1. हां : create इंटेंट को कॉल किया जाता है. अगर create इंटेंट, सही तरीके से काम करता है, तो खाता लिंक हो जाता है.
          2. नहीं : OAuth लिंक करने की सुविधा का फ़्लो ट्रिगर हो जाता है. उपयोगकर्ता को उसके ब्राउज़र पर रीडायरेक्ट कर दिया जाता है. साथ ही, उसे किसी दूसरे ईमेल पते से लिंक करने का विकल्प दिया जाता है.
      2. नहीं : OAuth लिंक करने की सुविधा का फ़्लो ट्रिगर हो जाता है. उपयोगकर्ता को उसके ब्राउज़र पर रीडायरेक्ट कर दिया जाता है. साथ ही, उसे किसी दूसरे ईमेल पते से लिंक करने का विकल्प दिया जाता है.
    2. नहीं : क्या उपयोगकर्ता का खाता, आपके ऑथेंटिकेशन सिस्टम में मौजूद है? (check इंटेंट की पुष्टि करने के लिए कॉल किया जाता है)
      1. हां : get इंटेंट को कॉल किया जाता है. अगर get इंटेंट, सही तरीके से काम करता है, तो खाता लिंक हो जाता है.
      2. नहीं : अगर आपकी सेवा, खाते बनाने की सुविधा देती है, तो the create intent को कॉल किया जाता है. अगर create intent, सही तरीके से काम करता है, तो खाता लिंक हो जाता है. अगर खाते बनाने की सुविधा उपलब्ध नहीं है, तो आपके एंडपॉइंट को HTTP 401 linking_error दिखाना चाहिए. इससे, OAuth लिंक करने की सुविधा का फ़ॉलबैक फ़्लो ट्रिगर हो जाता है.

लागू करने की रेसिपी

बेहतर तरीके से लिंक करने की सुविधा के लिए, आपके टोकन एक्सचेंज एंडपॉइंट में, check और get इंटेंट लागू होने चाहिए. इसके अलावा, इसमें create इंटेंट भी लागू किया जा सकता है.

अलग-अलग इंटेंट को मैनेज करने के लिए, यह तरीका अपनाएं:

मौजूदा उपयोगकर्ता खाते की जांच करना (इरादे की जांच करना)

Google, आपके टोकन एक्सचेंज एंडपॉइंट को कॉल करता है. इससे यह पुष्टि की जाती है कि Google उपयोगकर्ता आपके सिस्टम में मौजूद है या नहीं. पैरामीटर के बारे में ज़्यादा जानने के लिए, लिंक करने के इंटेंट को आसान बनाना लेख पढ़ें.

लागू करने की रेसिपी

check इंटेंट को हैंडल करने के लिए, ये कार्रवाइयां करें:

  1. अनुरोध की पुष्टि करें:

    • client_id, client_secret, और grant_type की पुष्टि करें. इनकी वैल्यू urn:ietf:params:oauth:grant-type:jwt-bearer होनी चाहिए.
    • JWT की पुष्टि में दी गई शर्तों के हिसाब से, assertion (JWT) की पुष्टि करें.
  2. उपयोगकर्ता को ढूंढना:

    • देखें कि JWT में मौजूद Google खाता आईडी (sub) या ईमेल पता, आपके डेटाबेस में मौजूद किसी उपयोगकर्ता से मेल खाता हो.
  3. जवाब:

    • अगर मिल जाए, तो {"account_found": "true"} के साथ एचटीटीपी 200 OK दिखाएं.
    • अगर नहीं मिलता है, तो {"account_found": "false"} के साथ एचटीटीपी 404 Not Found वाला मैसेज दिखाएं.

लिंक करने की सुविधा को अपने-आप हैंडल करना (इन्टेंट पाना)

अगर खाता मौजूद है, तो टोकन पाने के लिए, Google आपके एंडपॉइंट को intent=get के साथ कॉल करता है. पैरामीटर की ज़्यादा जानकारी के लिए, लिंक करने के इंटेंट को आसान बनाना लेख पढ़ें.

लागू करने की रेसिपी

get इंटेंट को हैंडल करने के लिए, यह तरीका अपनाएं:

  1. अनुरोध की पुष्टि करें:

    • client_id, client_secret, और grant_type की पुष्टि करें.
    • assertion (JWT) की पुष्टि करें.
  2. उपयोगकर्ता को ढूंढें:

    • sub या email दावे का इस्तेमाल करके, पुष्टि करें कि उपयोगकर्ता मौजूद है.
  3. जवाब दें:

    • अगर यह प्रोसेस पूरी हो जाती है, तो JSON जवाब (एचटीटीपी 200 OK) में access_token, refresh_token, और expires_in जनरेट करें और उन्हें वापस भेजें.
    • अगर लिंक करने की प्रोसेस पूरी नहीं होती है, तो एचटीटीपी 401 Unauthorized को {"error": "linking_error"} के साथ वापस भेजें. साथ ही, OAuth के ज़रिए लिंक करने की सामान्य प्रोसेस पर वापस जाने के लिए, login_hint को विकल्प के तौर पर शामिल करें.

Handle account creation using Sign in with Google (create intent)

If your service supports account creation and no account exists, Google calls your endpoint with intent=create to create a new user. For parameter details, see Streamlined Linking Intents.

Implementation Recipe

To handle the optional create intent, perform the following actions:

  1. Validate the request:

    • Verify client_id, client_secret, and grant_type.
    • Validate the assertion (JWT).
  2. Verify user does not exist:

    • Check if the sub or email is already in your database.
    • If the user does exist: Return HTTP 401 Unauthorized with {"error": "linking_error", "login_hint": "USER_EMAIL"} to force fallback to OAuth linking.
  3. Create account:

    • Use the sub, email, name, and picture claims from the JWT to create a new user record.
  4. Respond:

    • Generate and return tokens in a JSON response (HTTP 200 OK).

अपना Google API क्लाइंट आईडी पाना

खाते लिंक करने की सुविधा के लिए रजिस्टर करने की प्रोसेस के दौरान, आपको अपना Google API क्लाइंट आईडी देना होगा. OAuth लिंक करने की सुविधा के लिए, चरण पूरे करते समय बनाए गए प्रोजेक्ट का इस्तेमाल करके, अपना API क्लाइंट आईडी पाने के लिए: इसके लिए, यह तरीका अपनाएं:

  1. क्लाइंट पेज पर जाएं.
  2. Google API (एपीआई) का कोई प्रोजेक्ट बनाएं या चुनें.

    अगर आपके प्रोजेक्ट में, वेब ऐप्लिकेशन टाइप के लिए कोई क्लाइंट आईडी नहीं है, तो क्लाइंट बनाएं पर क्लिक करके एक क्लाइंट आईडी बनाएं. अनुमति वाले JavaScript ऑरिजिन बॉक्स में, अपनी साइट का डोमेन ज़रूर शामिल करें. स्थानीय तौर पर टेस्ट या डेवलपमेंट करते समय, आपको http://localhost और http://localhost:<port_number> दोनों को अनुमति वाले JavaScript ऑरिजिन फ़ील्ड में जोड़ना होगा.

लागू करने की पुष्टि करना

You can validate your implementation by using the OAuth 2.0 Playground tool.

In the tool, do the following steps:

  1. Click Configuration to open the OAuth 2.0 Configuration window.
  2. In the OAuth flow field, select Client-side.
  3. In the OAuth Endpoints field, select Custom.
  4. Specify your OAuth 2.0 endpoint and the client ID you assigned to Google in the corresponding fields.
  5. In the Step 1 section, don't select any Google scopes. Instead, leave this field blank or type a scope valid for your server (or an arbitrary string if you don't use OAuth scopes). When you're done, click Authorize APIs.
  6. In the Step 2 and Step 3 sections, go through the OAuth 2.0 flow and verify that each step works as intended.

You can validate your implementation by using the Google Account Linking Demo tool.

In the tool, do the following steps:

  1. Click the Sign in with Google button.
  2. Choose the account you'd like to link.
  3. Enter the service ID.
  4. Optionally enter one or more scopes that you will request access for.
  5. Click Start Demo.
  6. When prompted, confirm that you may consent and deny the linking request.
  7. Confirm that you are redirected to your platform.