Übersicht
Mit OAuth-basierter Anmeldung mit Google und vereinfachter Verknüpfung wird die Anmeldung mit Google zusätzlich zur OAuth-Verknüpfung eingeführt. So können Google-Nutzer ihre Konten nahtlos verknüpfen und optional ein Konto erstellen, mit dem sie über ihr Google-Konto einen neuen Account für Ihren Dienst erstellen können.
So verknüpfen Sie Konten mit OAuth und der Anmeldung mit Google:
- Bitten Sie den Nutzer zuerst um die Einwilligung zum Zugriff auf sein Google-Profil.
- Prüfen Sie anhand der Informationen im Profil, ob das Nutzerkonto vorhanden ist.
- Verknüpfen Sie die Konten für bestehende Nutzer.
- Wenn Sie im Authentifizierungssystem keine Übereinstimmung für den Google-Nutzer finden, validieren Sie das von Google erhaltene ID-Token. Wenn Ihr Dienst die Kontoerstellung unterstützt, können Sie dann einen Nutzer anhand der im ID-Token enthaltenen Profilinformationen erstellen.
Abbildung 1. Kontoverknüpfung auf dem Smartphone eines Nutzers mit vereinfachter Verknüpfung
Vereinfachte Verknüpfung: OAuth- und Anmeldung mit Google-Vorgang
Das folgende Sequenzdiagramm zeigt die Interaktionen zwischen dem Nutzer, Google und Ihrem Endpunkt für den Tokenaustausch für die vereinfachte Verknüpfung.
Rollen und Verantwortlichkeiten
In der folgenden Tabelle sind die Rollen und Verantwortlichkeiten der Akteure im Vorgang für die vereinfachte Verknüpfung definiert.
| Akteur / Komponente | GAL-Rolle | Verantwortlichkeiten |
|---|---|---|
| Google-App / Server | OAuth-Client | Holt die Einwilligung des Nutzers für die Anmeldung mit Google ein, übergibt Identitätsassertions (JWT) an Ihren Server und speichert die resultierenden Tokens sicher. |
| Endpunkt für den Tokenaustausch | Identitätsanbieter / Autorisierungsserver | Validiert Identitätsassertions, prüft auf vorhandene Konten, verarbeitet
die erforderlichen Absichten für die Kontoverknüpfung (check,
get) und die optionale create Absicht und stellt
Tokens basierend auf den angeforderten Absichten aus. |
| Ihre Dienst-API | Ressourcenserver | Gewährt Zugriff auf Nutzerdaten, wenn ein gültiges Zugriff token vorgelegt wird. |
Anforderungen für die vereinfachte Verknüpfung
- Implementieren Sie den grundlegenden OAuth-Verknüpfungsvorgang. Ihr Dienst muss OAuth 2.0-konforme Autorisierungs- und Tokenaustausch-Endpunkte unterstützen.
- Ihr Tokenaustausch-Endpunkt muss
JSON Web Token (JWT)
Assertions unterstützen und die erforderlichen Absichten
checkundgetsowie optional die Absichtcreateimplementieren.
Entscheidungslogik für die vereinfachte Verknüpfung
Die folgende Logik bestimmt, wie Absichten während des Vorgangs für die vereinfachte Verknüpfung aufgerufen werden:
- Hat der Nutzer ein Konto in Ihrem Authentifizierungssystem? (Der Nutzer entscheidet, indem er JA oder NEIN auswählt.)
- JA : Meldet sich der Nutzer mit der E‑Mail-Adresse, die mit seinem Google-Konto verknüpft ist, auf Ihrer Plattform an? (Der Nutzer entscheidet, indem er JA oder NEIN auswählt.)
- JA : Hat der Nutzer ein entsprechendes Konto in Ihrem Authentifizierungssystem? (
checkAbsicht wird aufgerufen, um dies zu bestätigen)- JA :
getAbsicht wird aufgerufen und das Konto wird verknüpft, wenn die Absicht `get` erfolgreich zurückgegeben wird. - NEIN : Neues Konto erstellen? (Der Nutzer entscheidet, indem er JA oder NEIN auswählt. Dies ist nur möglich, wenn Ihr Dienst die Kontoerstellung unterstützt.)
- JA :
createAbsicht wird aufgerufen und das Konto wird verknüpft, wenn die Absicht „create“ erfolgreich zurückgegeben wird. - NEIN : Der OAuth-Verknüpfungsvorgang wird ausgelöst, der Nutzer wird zu seinem Browser weitergeleitet und hat die Möglichkeit, eine Verknüpfung mit einer anderen E‑Mail-Adresse herzustellen.
- JA :
- JA :
- NEIN : Der OAuth-Verknüpfungsvorgang wird ausgelöst, der Nutzer wird zu seinem Browser weitergeleitet und hat die Möglichkeit, eine Verknüpfung mit einer anderen E‑Mail-Adresse herzustellen.
- JA : Hat der Nutzer ein entsprechendes Konto in Ihrem Authentifizierungssystem? (
- NEIN : Hat der Nutzer ein entsprechendes Konto in Ihrem Authentifizierungssystem? (
checkAbsicht wird aufgerufen, um dies zu bestätigen)- JA :
getAbsicht wird aufgerufen und das Konto wird verknüpft, wenn get Absicht erfolgreich zurückgegeben wird. - NEIN : Wenn Ihr Dienst die Kontoerstellung unterstützt, wird die
createAbsicht aufgerufen und das Konto wird verknüpft, wenn create Absicht erfolgreich zurückgegeben wird. Wenn die Kontoerstellung nicht unterstützt wird, sollte Ihr Endpunkt HTTP 401 linking_error zurückgeben, um den Fallback-OAuth-Verknüpfungsvorgang auszulösen.
- JA :
- JA : Meldet sich der Nutzer mit der E‑Mail-Adresse, die mit seinem Google-Konto verknüpft ist, auf Ihrer Plattform an? (Der Nutzer entscheidet, indem er JA oder NEIN auswählt.)
Implementierungsrezept
Ihr Endpunkt für den Tokenaustausch muss die erforderlichen Absichten check und get sowie optional die Absicht create implementieren, um die vereinfachte Verknüpfung zu unterstützen.
So verarbeiten Sie die verschiedenen Absichten:
Nach einem bestehenden Nutzerkonto suchen (Intent „check“)
Google ruft Ihren Tokenaustausch-Endpunkt auf, um zu prüfen, ob der Google-Nutzer in Ihrem System vorhanden ist. Details zu den Parametern finden Sie unter Streamlined Linking Intents.
Implementierungsrezept
So verarbeiten Sie den erforderlichen Intent check:
Anfrage validieren:
client_id,client_secretundgrant_typeprüfen (mussurn:ietf:params:oauth:grant-type:jwt-bearersein).- Die
assertion(JWT) anhand der Kriterien unter JWT Validierung validieren.
Nutzer suchen:
- Prüfen, ob die Google-Konto-ID (
sub) oder die E-Mail-Adresse im JWT mit einem Nutzer in Ihrer Datenbank übereinstimmt.
- Prüfen, ob die Google-Konto-ID (
Reagieren:
- Wenn gefunden: HTTP
200 OKmit{"account_found": "true"}zurückgeben. - Wenn nicht gefunden: HTTP
404 Not Foundmit{"account_found": "false"}zurückgeben.
- Wenn gefunden: HTTP
Automatische Verknüpfung verarbeiten (Intent abrufen)
Wenn das Konto vorhanden ist, ruft Google Ihren Endpunkt mit intent=get auf, um Tokens abzurufen. Weitere Informationen zu den Parametern finden Sie unter Intents für die vereinfachte Verknüpfung.
Implementierungsanleitung
So verarbeiten Sie den erforderlichen Intent get:
Anfrage validieren:
- Bestätigen Sie
client_id,client_secretundgrant_type. - Validieren Sie das
assertion(JWT).
- Bestätigen Sie
Nutzer suchen:
- Prüfen Sie anhand des
sub- oderemail-Claims, ob der Nutzer vorhanden ist.
- Prüfen Sie anhand des
Antworten:
- Bei Erfolg: Generieren und geben Sie
access_token,refresh_tokenundexpires_inin einer JSON-Antwort (HTTP200 OK) zurück. - Wenn die Verknüpfung fehlschlägt: Gib HTTP
401 Unauthorizedmit{"error": "linking_error"}und optionallogin_hintzurück, um auf die standardmäßige OAuth-Verknüpfung zurückzugreifen.
- Bei Erfolg: Generieren und geben Sie
Handle account creation using Sign in with Google (create intent)
If your service supports account creation and no account exists, Google calls
your endpoint with intent=create to create a new user. For parameter details,
see Streamlined Linking
Intents.
Implementation Recipe
To handle the optional create intent, perform the following actions:
Validate the request:
- Verify
client_id,client_secret, andgrant_type. - Validate the
assertion(JWT).
- Verify
Verify user does not exist:
- Check if the
suboremailis already in your database. - If the user does exist: Return HTTP
401 Unauthorizedwith{"error": "linking_error", "login_hint": "USER_EMAIL"}to force fallback to OAuth linking.
- Check if the
Create account:
- Use the
sub,email,name, andpictureclaims from the JWT to create a new user record.
- Use the
Respond:
- Generate and return tokens in a JSON response (HTTP
200 OK).
- Generate and return tokens in a JSON response (HTTP
Google API-Client-ID abrufen
Sie müssen Ihre Google API-Client-ID während der Kontoverknüpfung Registrierung Prozess angeben. So rufen Sie Ihre API-Client-ID mit dem Projekt ab, das Sie beim Ausführen der Schritte zur OAuth-Verknüpfung erstellt haben: Führen Sie dazu die folgenden Schritte aus:
- Rufen Sie die Seite „Clients“ auf.
Erstellen oder wählen Sie ein Google APIs-Projekt aus.
Wenn Ihr Projekt keine Client-ID für den Webanwendungstyp hat, klicken Sie auf Client erstellen , um eine zu erstellen. Fügen Sie die Domain Ihrer Website im Feld Autorisierte JavaScript-Quellen hinzu. Wenn Sie lokale Tests oder Entwicklungen durchführen, müssen Sie sowohl
http://localhostals auchhttp://localhost:<port_number>in das Feld Autorisierte JavaScript-Quellen eingeben.
Implementierung validieren
Sie können Ihre Implementierung mit dem OAuth 2.0 Playground Tool validieren.
Führen Sie im Tool die folgenden Schritte aus:
- Klicken Sie auf die Konfigurationseinstellungen , um das Fenster „OAuth 2.0-Konfiguration“ zu öffnen.
- Wählen Sie im Feld OAuth-Ablauf die Option Clientseitig aus.
- Wählen Sie im Feld OAuth-Endpunkte die Option Benutzerdefiniert aus.
- Geben Sie in den entsprechenden Feldern Ihren OAuth 2.0-Endpunkt und die Client-ID an, die Sie Google zugewiesen haben.
- Wählen Sie im Abschnitt Schritt 1 keine Google-Bereiche aus. Lassen Sie dieses Feld stattdessen leer oder geben Sie einen für Ihren Server gültigen Bereich ein (oder eine beliebige Zeichenfolge, wenn Sie keine OAuth-Bereiche verwenden). Klicken Sie anschließend auf APIs autorisieren.
- Führen Sie in den Abschnitten Schritt 2 und Schritt 3 den OAuth 2.0-Ablauf durch und prüfen Sie, ob jeder Schritt wie vorgesehen funktioniert.
Sie können Ihre Implementierung mit dem Tool „Google-Kontoverknüpfung – Demo“ validieren.
Führen Sie im Tool die folgenden Schritte aus:
- Klicken Sie auf die Schaltfläche Mit Google anmelden.
- Wählen Sie das Konto aus, das Sie verknüpfen möchten.
- Geben Sie die Dienst-ID ein.
- Optional können Sie einen oder mehrere Bereiche eingeben, für die Sie Zugriff anfordern möchten.
- Klicken Sie auf Demo starten.
- Bestätigen Sie bei Aufforderung, dass Sie der Verknüpfungsanfrage zustimmen und sie ablehnen können.
- Bestätigen Sie, dass Sie zu Ihrer Plattform weitergeleitet werden.