קישור יעיל באמצעות OAuth וכניסה באמצעות חשבון Google

סקירה כללית

כניסה באמצעות חשבון Google מבוססת-OAuth עם קישור יעיל מוסיפה כניסה באמצעות חשבון Google על גבי קישור OAuth. הקישור הזה מאפשר למשתמשי Google ליהנות מחוויית קישור חלקה, וגם ליצור חשבון חדש בשירות שלכם באמצעות חשבון Google שלהם.

כדי לבצע קישור חשבונות באמצעות OAuth ו'כניסה באמצעות חשבון Google', פועלים לפי השלבים הכלליים הבאים:

  1. קודם כל, צריך לבקש מהמשתמש לתת הסכמה לגישה לפרופיל ב-Google.
  2. משתמשים במידע בפרופיל כדי לבדוק אם חשבון המשתמש קיים.
  3. למשתמשים קיימים, מקשרים את החשבונות.
  4. אם לא מצאתם התאמה למשתמש Google במערכת האימות שלכם, צריך לאמת את אסימון הזהות שהתקבל מ-Google. לאחר מכן תוכלו ליצור משתמש על סמך פרטי הפרופיל שכלולים באסימון המזהה.
איור שמראה את השלבים שמשתמש צריך לבצע כדי לקשר את חשבון Google שלו באמצעות תהליך הקישור הפשוט. בצילום המסך הראשון אפשר לראות איך משתמש יכול לבחור את האפליקציה שלכם לקישור. בצילום המסך השני, המשתמש יכול לאשר אם יש לו חשבון קיים בשירות שלכם או לא. בצילום המסך השלישי, המשתמש יכול לבחור את חשבון Google שהוא רוצה לקשר. בצילום המסך הרביעי מוצג אישור לקישור חשבון Google לאפליקציה. בצילום המסך החמישי מוצג חשבון משתמש שקושר בהצלחה באפליקציית Google.
קישור חשבון בטלפון של משתמש באמצעות קישור פשוט

איור 1. קישור חשבון בטלפון של משתמש באמצעות קישור פשוט

קישור יעיל: תהליך OAuth + כניסה באמצעות חשבון Google

תרשים הרצף הבא מציג את האינטראקציות בין המשתמש, Google ונקודת הקצה של חילופי הטוקנים שלכם לקישור פשוט.

משתמש אפליקציית Google / שרת הטוקן שלך נקודת קצה של חילופי מידע ה-API שלך 1. המשתמש יוזם את הקישור 2. שליחת בקשה להפעלת התכונה 'כניסה באמצעות חשבון Google' 3. Sign in with Google 4. check intent (JWT Assertion) 5. account_found: true/false If account found: 6. get intent If no account: 6. create intent 7. access_token, refresh_token 8. טוקנים של משתמשים בחנות 9. גישה למשאבי משתמשים
איור 2. רצף האירועים בתהליך של קישור יעיל
.

תפקידים ותחומי אחריות

בטבלה הבאה מוגדרים התפקידים ותחומי האחריות של הגורמים בתהליך המקוצר של קישור החשבונות.

המשתמש / הרכיב תפקיד ב-GAL תחומי אחריות
אפליקציית Google / שרת לקוח OAuth מקבל את הסכמת המשתמש לכניסה באמצעות חשבון Google, מעביר הצהרות זהות (JWT) לשרת שלכם ושומר בצורה מאובטחת את הטוקנים שנוצרו.
נקודת הקצה של חילופי הטוקנים ספק זהויות / שרת הרשאות מאמת את הצהרות הזהות, בודק אם יש חשבונות קיימים, מטפל בכוונות לקישור חשבונות (check,‏ get,‏ create) ומנפיק טוקנים על סמך הכוונות המבוקשות.
Your Service API שרת משאבים מאפשר גישה לנתוני משתמש כשמוצג אסימון גישה תקין.

הדרישות לקישור פשוט

לוגיקה של החלטות לקישור יעיל

הלוגיקה הבאה קובעת איך מתבצעות קריאות לכוונות במהלך תהליך הקישור הפשוט:

  1. האם למשתמש יש חשבון במערכת האימות שלכם? (המשתמש מחליט על ידי בחירה באפשרות 'כן' או 'לא')
    1. כן : המשתמש משתמש בכתובת האימייל שמשויכת לחשבון Google שלו כדי להיכנס לפלטפורמה שלכם. (המשתמש מחליט על ידי בחירה באפשרות 'כן' או 'לא')
      1. כן : האם למשתמש יש חשבון תואם במערכת האימות שלכם? (מתקשרים אל check intent כדי לאשר)
        1. ‫YES : מתקשרים אל get intent והחשבון מקושר אם הכוונה מוחזרת בהצלחה.
        2. לא : ליצור חשבון חדש? (המשתמש מחליט על ידי בחירה באפשרות 'כן' או 'לא')
          1. כן : מתבצעת קריאה אל create intent והחשבון מקושר אם כוונת היצירה מוחזרת בהצלחה.
          2. לא : תהליך הקישור באמצעות OAuth מופעל, המשתמש מועבר לדפדפן שלו ומוצגת לו האפשרות לקשר עם כתובת אימייל אחרת.
      2. לא : מופעל תהליך הקישור באמצעות OAuth, המשתמש מועבר לדפדפן שלו ומוצגת לו האפשרות לקשר עם כתובת אימייל אחרת.
    2. לא : האם למשתמש יש חשבון תואם במערכת האימות שלך? (מתקשרים אל check intent כדי לאשר)
      1. ‫YES : מתקשרים אל get intent והחשבון מקושר אם הכוונה מוחזרת בהצלחה.
      2. לא : מתבצעת קריאה אל create intent והחשבון מקושר אם הכוונה ליצור חוזרת בהצלחה.

מתכון להטמעה

נקודת הקצה של חילופי הטוקנים צריכה להטמיע את ה-Intents check, get ו-create כדי לתמוך בקישור פשוט.

כדי לטפל בכוונות השונות:

בדיקה אם קיים חשבון משתמש (בדיקת כוונות)

‫Google מתקשרת לנקודת הקצה של החלפת האסימונים כדי לוודא שהמשתמש ב-Google קיים במערכת שלכם. פרטים על הפרמטרים זמינים במאמר בנושא הפעלת כוונות מקושרות.

מתכון להטמעה

כדי לטפל בכוונת המשתמש check, מבצעים את הפעולות הבאות:

  1. אימות הבקשה:

    • אימות של client_id,‏ client_secret ו-grant_type (חייב להיות urn:ietf:params:oauth:grant-type:jwt-bearer).
    • מאמתים את assertion (JWT) באמצעות הקריטריונים שמפורטים במאמר אימות JWT.

  2. חיפוש משתמש:

    • בודקים אם מזהה חשבון Google ‏ (sub) או כתובת האימייל ב-JWT תואמים למשתמש במסד הנתונים.

  3. שליחת תשובה:

    • אם נמצא: מחזירים HTTP 200 OK עם {"account_found": "true"}.
    • אם הקובץ לא נמצא: מחזירים HTTP 404 Not Found עם {"account_found": "false"}.

טיפול בקישור אוטומטי (קבלת כוונת רכישה)

אם החשבון קיים, Google מתקשרת לנקודת הקצה עם intent=get כדי לאחזר טוקנים. פרטים על הפרמטרים זמינים במאמר בנושא הפעלת כוונות מקושרות.

מתכון להטמעה

כדי לטפל בכוונת המשתמש get, מבצעים את הפעולות הבאות:

  1. אימות הבקשה:

    • מאמתים את client_id,‏ client_secret וgrant_type.
    • מאמתים את assertion (JWT).

  2. חיפוש משתמש:

    • מוודאים שהמשתמש קיים באמצעות הטענה sub או email.

  3. שליחת תשובה:

    • אם הפעולה הצליחה: ייווצרו ויוחזרו הערכים access_token, refresh_token ו-expires_in בתגובת JSON (HTTP 200 OK).
    • אם הקישור נכשל: מחזירים HTTP 401 Unauthorized עם {"error": "linking_error"} ואפשרות login_hint כדי לחזור לקישור OAuth רגיל.

טיפול ביצירת חשבון באמצעות "כניסה באמצעות חשבון Google" (יצירת כוונה)

אם לא קיים חשבון, Google מתקשרת לנקודת הקצה עם intent=create כדי ליצור משתמש חדש. פרטים על הפרמטרים זמינים במאמר בנושא הפעלת כוונות מקושרות.

מתכון להטמעה

כדי לטפל בכוונת המשתמש create, מבצעים את הפעולות הבאות:

  1. אימות הבקשה:

    • מאמתים את client_id,‏ client_secret וgrant_type.
    • מאמתים את assertion (JWT).

  2. מוודאים שהמשתמש לא קיים:

    • בודקים אם sub או email כבר נמצאים במסד הנתונים.
    • אם המשתמש קיים: מחזירים HTTP 401 Unauthorized עם {"error": "linking_error", "login_hint": "USER_EMAIL"} כדי לכפות מעבר לקישור OAuth.

  3. יצירת חשבון:

    • משתמשים בהצהרות sub,‏ email,‏ name ו-picture מתוך ה-JWT כדי ליצור רשומת משתמש חדשה.

  4. שליחת תשובה:

    • יצירה והחזרה של טוקנים בתגובת JSON ‏ (HTTP 200 OK).

איך מקבלים את מזהה הלקוח ב-Google API

תצטרכו לספק את מזהה הלקוח של Google API במהלך תהליך ההרשמה לקישור החשבון. כדי לקבל את מזהה הלקוח של ה-API באמצעות הפרויקט שיצרתם במהלך השלבים של קישור OAuth. כדי לעשות זאת, מבצעים את השלבים הבאים:

  1. עוברים אל דף הלקוחות.

  2. יוצרים פרויקט ב-Google APIs או בוחרים פרויקט קיים.

    אם בפרויקט שלכם אין מזהה לקוח מסוג אפליקציית אינטרנט, לוחצים על יצירת לקוח כדי ליצור אחד. חשוב להוסיף את הדומיין של האתר לתיבה מקורות מורשים של JavaScript. כשמבצעים בדיקות מקומיות או פיתוח, צריך להוסיף את http://localhost ואת http://localhost:<port_number> לשדה מקורות JavaScript מורשים.

אימות ההטמעה

כדי לאמת את ההטמעה, אפשר להשתמש בכלי OAuth 2.0 Playground.

בכלי, מבצעים את השלבים הבאים:

  1. לוחצים על Configuration (הגדרה) כדי לפתוח את חלון ההגדרה של OAuth 2.0.
  2. בשדה OAuth flow (תהליך OAuth), בוחרים באפשרות Client-side (בצד הלקוח).
  3. בשדה OAuth Endpoints (נקודות קצה של OAuth), בוחרים באפשרות Custom (מותאם אישית).
  4. בשדות המתאימים, מציינים את נקודת הקצה של OAuth 2.0 ואת מזהה הלקוח שהקציתם ל-Google.
  5. בקטע Step 1, לא בוחרים אף היקף של Google. במקום זאת, משאירים את השדה הזה ריק או מקלידים היקף הרשאות שתקף לשרת (או מחרוזת שרירותית אם לא משתמשים בהיקפי הרשאות OAuth). בסיום, לוחצים על הרשאת ממשקי API.
  6. בקטעים שלב 2 ושלב 3, עוברים על תהליך ההרשאה באמצעות OAuth 2.0 ומוודאים שכל שלב פועל כמו שצריך.

כדי לאמת את ההטמעה, אפשר להשתמש בכלי Google Account Linking Demo.

בכלי, מבצעים את השלבים הבאים:

  1. לוחצים על הכפתור כניסה באמצעות חשבון Google.
  2. בוחרים את החשבון שרוצים לקשר.
  3. מזינים את מזהה השירות.
  4. אפשר להזין היקף אחד או יותר שרוצים לבקש גישה אליהם.
  5. לוחצים על התחלת ההדגמה.
  6. כשמופיעה הבקשה, מאשרים שרוצים להסכים לבקשת הקישור או לדחות אותה.
  7. מוודאים שמופנים לפלטפורמה שלכם.