Penautan yang Disederhanakan dengan OAuth dan Login dengan Google

Gambaran

Berbasis OAuth Google Sign-In Efisien linking menambahkan Google Sign-In di atas OAuth menghubungkan . Ini memberikan pengalaman penautan yang lancar bagi pengguna Google, dan juga memungkinkan penautan akun untuk pengguna yang mendaftar ke layanan Anda dengan identitas non-Google.

Untuk melakukan penautan akun dengan OAuth dan Google Sign-In, ikuti langkah-langkah umum berikut:

  1. Pertama, minta pengguna untuk memberikan persetujuan untuk mengakses profil Google mereka.
  2. Gunakan informasi di profil mereka untuk memeriksa apakah akun pengguna ada.
  3. Untuk pengguna yang sudah ada, tautkan akun.
  4. Jika Anda tidak dapat menemukan kecocokan untuk pengguna Google di sistem autentikasi Anda, validasi token ID yang diterima dari Google. Anda kemudian dapat membuat pengguna berdasarkan informasi profil yang terdapat dalam token ID.

Gambar 3. Penautan Akun di ponsel pengguna dengan Penautan Efisien

Akun ditautkan menggunakan industri OAuth standar mengalir 2,0 implisit dan otorisasi kode. Layanan Anda harus mendukung otorisasi OAuth 2.0-compliant dan titik akhir pertukaran tanda. Selain itu, pertukaran endpoint token Anda harus mendukung JSON Web Token (JWT) pernyataan dan melaksanakan check , create , dan get maksud.

Dapatkan ID Klien dan Rahasia Google API Anda

Anda akan perlu untuk mendapatkan API Anda Klien ID dan Rahasia menggunakan proyek yang Anda buat saat menyelesaikan OAuth Menghubungkan langkah. Untuk melakukannya, selesaikan langkah-langkah berikut:

  1. Buka halaman Kredensial dari API konsol Google .
  2. Buat atau pilih proyek Google API.

    Jika proyek Anda tidak memiliki ID Klien untuk Jenis aplikasi Web, klik Buat kredensial> OAuth Client ID untuk membuat satu. Pastikan untuk menyertakan domain situs anda dalam asal JavaScript Resmi kotak. Ketika Anda melakukan tes lokal atau pengembangan, Anda harus menambahkan kedua http://localhost dan http://localhost:<port_number> untuk JavaScript asal lapangan Resmi.

Terapkan server OAuth Anda

Periksa akun pengguna yang ada

Setelah pengguna memberikan izin untuk mengakses profil Google mereka, Google mengirimkan permintaan yang berisi pernyataan identitas pengguna Google yang telah ditandatangani. Penegasan tersebut berisi informasi yang menyertakan ID Akun Google, nama, dan alamat email pengguna. Titik akhir pertukaran token yang dikonfigurasi untuk proyek Anda menangani permintaan itu.

Jika akun Google terkait sudah ada di sistem otentikasi Anda, titik akhir pertukaran token Anda merespons dengan account_found=true . Jika akun Google tidak cocok dengan pengguna yang sudah ada, titik akhir pertukaran token Anda mengembalikan kesalahan HTTP 404 Tidak Ditemukan dengan account_found=false .

Bentuk permintaannya adalah sebagai berikut:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&intent=check&assertion=JWT&scope=SCOPES

Titik akhir pertukaran token Anda harus dapat menangani parameter berikut:

Parameter titik akhir token
intent Untuk permintaan ini, nilai parameter ini adalah check .
grant_type Jenis token yang ditukar. Untuk permintaan ini, parameter ini memiliki nilai urn:ietf:params:oauth:grant-type:jwt-bearer .
assertion Token Web JSON (JWT) yang memberikan pernyataan bertanda tangan tentang identitas pengguna Google. JWT berisi informasi yang mencakup ID Akun Google, nama, dan alamat email pengguna.

Ketika titik akhir pertukaran token Anda menerima permintaan check , itu perlu memvalidasi dan mendekode pernyataan JWT.

Validasi dan dekode pernyataan JWT

Anda dapat memvalidasi dan mendekode pernyataan JWT dengan menggunakan perpustakaan decoding JWT untuk bahasa Anda . Gunakan kunci publik Google, tersedia dalam format JWK atau PEM , untuk memverifikasi tanda tangan token.

Saat didekodekan, pernyataan JWT terlihat seperti contoh berikut:

{
  "sub": "1234567890",      // The unique ID of the user's Google Account
  "iss": "https://accounts.google.com",        // The assertion's issuer
  "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID
  "iat": 233366400,         // Unix timestamp of the assertion's creation time
  "exp": 233370000,         // Unix timestamp of the assertion's expiration time
  "name": "Jan Jansen",
  "given_name": "Jan",
  "family_name": "Jansen",
  "email": "jan@gmail.com", // If present, the user's email address
  "email_verified": true,   // true, if Google has verified the email address
  "hd": "example.com",      // If present, the host domain of the user's GSuite email address
                            // If present, a URL to user's profile picture
  "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ",
  "locale": "en_US"         // User's locale, from browser or phone settings
}

Selain memverifikasi tanda tangan token, verifikasi bahwa penerbit pernyataan (bidang iss ) adalah https://accounts.google.com , bahwa audiens (bidang aud ) adalah ID klien yang Anda tetapkan, dan bahwa token belum kedaluwarsa ( exp bidang).

Dengan menggunakan bidang email , email_verified , dan hd Anda dapat menentukan apakah Google menghosting dan berwenang untuk sebuah alamat email. Jika Google berwenang, pengguna saat ini diketahui sebagai pemilik akun yang sah dan Anda dapat melewati sandi atau metode tantangan lainnya. Jika tidak, metode ini dapat digunakan untuk memverifikasi akun sebelum menautkan.

Kasus di mana Google berwibawa:

  • email memiliki akhiran @gmail.com , ini adalah akun Gmail.
  • email_verified benar dan hd disetel, ini adalah akun G Suite.

Pengguna dapat mendaftar untuk Akun Google tanpa menggunakan Gmail atau G Suite. Jika email tidak berisi akhiran @gmail.com dan hd tidak ada, Google tidak berwibawa dan sandi atau metode tantangan lainnya disarankan untuk memverifikasi pengguna. email_verfied juga bisa benar karena Google awalnya memverifikasi pengguna saat akun Google dibuat, namun kepemilikan akun email pihak ketiga mungkin telah berubah.

Periksa apakah akun Google sudah ada di sistem otentikasi Anda

Periksa apakah salah satu dari kondisi berikut ini benar:

  • ID Akun Google, ditemukan di sub bidang pernyataan, ada di basis data pengguna Anda.
  • Alamat email di pernyataan cocok dengan pengguna di database pengguna Anda.

Jika salah satu kondisinya benar, pengguna telah mendaftar. Jika demikian, kembalikan respons seperti berikut:

HTTP/1.1 200 Success
Content-Type: application/json;charset=UTF-8

{
  "account_found":"true",
}

Google kemudian menampilkan dialog persetujuan penautan kepada pengguna dan meminta persetujuan untuk cakupan yang diinginkan untuk melanjutkan penautan. Setelah Google mendapatkan persetujuan pengguna, Google mengirimkan permintaan get ke titik akhir token Anda untuk melanjutkan penautan.

Jika baik ID Akun Google maupun alamat email yang ditentukan dalam pernyataan cocok dengan pengguna di database Anda, pengguna tersebut belum mendaftar. Dalam kasus ini, titik akhir pertukaran token Anda perlu membalas dengan kesalahan HTTP 404 yang menentukan "account_found": "false" , seperti pada contoh berikut:

HTTP/1.1 404 Not found
Content-Type: application/json;charset=UTF-8

{
  "account_found":"false",
}
Saat Google menerima respons error 404 dengan error "account_found": "false" , Google menampilkan dialog kepada pengguna untuk meminta izin membuat akun baru dan akses ke cakupan yang diinginkan. Setelah Google mendapatkan persetujuan pengguna, Google memanggil endpoint pertukaran token Anda dengan nilai parameter intent disetel untuk create dan menyertakan token ID yang berisi informasi profil pengguna dengan permintaan tersebut.

Tangani tautan otomatis

Setelah pengguna memberikan izin untuk mengakses profil Google mereka, Google mengirimkan permintaan yang berisi pernyataan identitas pengguna Google yang telah ditandatangani. Penegasan tersebut berisi informasi yang menyertakan ID Akun Google, nama, dan alamat email pengguna. Titik akhir pertukaran token yang dikonfigurasi untuk proyek Anda menangani permintaan itu.

Jika Akun Google yang sesuai sudah ada di sistem autentikasi Anda, endpoint pertukaran token Anda mengembalikan token untuk pengguna. Jika Akun Google tidak cocok dengan pengguna yang sudah ada, titik akhir pertukaran token Anda linking_error error linking_error dan login_hint opsional.

Bentuk permintaannya adalah sebagai berikut:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&intent=get&assertion=JWT&scope=SCOPES

Titik akhir pertukaran token Anda harus dapat menangani parameter berikut:

Parameter titik akhir token
intent Untuk permintaan ini, nilai parameter ini adalah get .
grant_type Jenis token yang ditukar. Untuk permintaan ini, parameter ini memiliki nilai urn:ietf:params:oauth:grant-type:jwt-bearer .
assertion Token Web JSON (JWT) yang memberikan pernyataan bertanda tangan tentang identitas pengguna Google. JWT berisi informasi yang mencakup ID Akun Google, nama, dan alamat email pengguna.
scope Opsional: Cakupan apa pun yang Anda konfigurasikan Google untuk meminta dari pengguna.

Ketika titik akhir pertukaran token Anda menerima permintaan penautan, itu perlu memvalidasi dan mendekode pernyataan JWT.

Validasi dan dekode pernyataan JWT

Anda dapat memvalidasi dan mendekode pernyataan JWT dengan menggunakan perpustakaan decoding JWT untuk bahasa Anda . Gunakan kunci publik Google, tersedia dalam format JWK atau PEM , untuk memverifikasi tanda tangan token.

Saat didekodekan, pernyataan JWT terlihat seperti contoh berikut:

{
  "sub": "1234567890",      // The unique ID of the user's Google Account
  "iss": "https://accounts.google.com",        // The assertion's issuer
  "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID
  "iat": 233366400,         // Unix timestamp of the assertion's creation time
  "exp": 233370000,         // Unix timestamp of the assertion's expiration time
  "name": "Jan Jansen",
  "given_name": "Jan",
  "family_name": "Jansen",
  "email": "jan@gmail.com", // If present, the user's email address
  "email_verified": true,   // true, if Google has verified the email address
  "hd": "example.com",      // If present, the host domain of the user's GSuite email address
                            // If present, a URL to user's profile picture
  "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ",
  "locale": "en_US"         // User's locale, from browser or phone settings
}

Selain memverifikasi tanda tangan token, verifikasi bahwa penerbit pernyataan (bidang iss ) adalah https://accounts.google.com , bahwa audiens (bidang aud ) adalah ID klien yang Anda tetapkan, dan bahwa token belum kedaluwarsa ( exp bidang).

Dengan menggunakan bidang email , email_verified , dan hd Anda dapat menentukan apakah Google menghosting dan berwenang untuk sebuah alamat email. Jika Google berwenang, pengguna saat ini diketahui sebagai pemilik akun yang sah dan Anda dapat melewati sandi atau metode tantangan lainnya. Jika tidak, metode ini dapat digunakan untuk memverifikasi akun sebelum menautkan.

Kasus di mana Google berwibawa:

  • email memiliki akhiran @gmail.com , ini adalah akun Gmail.
  • email_verified benar dan hd disetel, ini adalah akun G Suite.

Pengguna dapat mendaftar untuk Akun Google tanpa menggunakan Gmail atau G Suite. Jika email tidak berisi akhiran @gmail.com dan hd tidak ada, Google tidak berwibawa dan sandi atau metode tantangan lainnya disarankan untuk memverifikasi pengguna. email_verfied juga bisa benar karena Google awalnya memverifikasi pengguna saat akun Google dibuat, namun kepemilikan akun email pihak ketiga mungkin telah berubah.

Periksa apakah akun Google sudah ada di sistem otentikasi Anda

Periksa apakah salah satu dari kondisi berikut ini benar:

  • ID Akun Google, ditemukan di sub bidang pernyataan, ada di basis data pengguna Anda.
  • Alamat email di pernyataan cocok dengan pengguna di database pengguna Anda.

Dalam beberapa kasus, penautan akun berdasarkan token ID mungkin gagal untuk pengguna. Jika melakukannya karena alasan apa pun, titik akhir pertukaran token Anda perlu membalas dengan kesalahan HTTP 401 yang menentukan error=linking_error , seperti yang ditunjukkan contoh berikut:

HTTP/1.1 401 Unauthorized
Content-Type: application/json;charset=UTF-8

{
  "error":"linking_error",
  "login_hint":"foo@bar.com"
}
Saat Google menerima respons kesalahan 401 dengan linking_error , Google memanggil titik akhir pertukaran token Anda dengan permintaan berikut:

  • Parameter intent disetel untuk create
  • JWT dengan token ID dan informasi profil pengguna

Menangani pembuatan akun melalui Google Sign-In

Ketika pengguna perlu membuat account pada layanan Anda, Google membuat permintaan untuk endpoint pertukaran token Anda yang menentukan intent=create .

Permintaan memiliki bentuk berikut:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

response_type=token&grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&scope=SCOPES&intent=create&assertion=JWT

Titik akhir pertukaran token Anda harus dapat menangani parameter berikut:

Parameter titik akhir token
intent Untuk permintaan ini, nilai parameter ini create .
grant_type Jenis token yang dipertukarkan. Untuk permintaan ini, parameter ini memiliki nilai urn:ietf:params:oauth:grant-type:jwt-bearer .
assertion JSON Web Token (JWT) yang memberikan pernyataan yang ditandatangani tentang identitas pengguna Google. JWT berisi informasi yang mencakup ID Akun Google, nama, dan alamat email pengguna.

JWT dalam assertion parameter mengandung Google ID Akun, nama, dan alamat email pengguna, yang dapat Anda gunakan untuk membuat account baru pada layanan Anda.

Untuk menanggapi permintaan pembuatan akun, titik akhir pertukaran token Anda harus melakukan langkah-langkah di dua bagian berikut.

Validasi dan dekode pernyataan JWT

Anda dapat memvalidasi dan mendekode pernyataan JWT dengan menggunakan perpustakaan decoding JWT untuk bahasa Anda . Gunakan kunci publik Google, tersedia dalam format JWK atau PEM , untuk memverifikasi tanda tangan token.

Saat didekodekan, pernyataan JWT terlihat seperti contoh berikut:

{
  "sub": "1234567890",      // The unique ID of the user's Google Account
  "iss": "https://accounts.google.com",        // The assertion's issuer
  "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID
  "iat": 233366400,         // Unix timestamp of the assertion's creation time
  "exp": 233370000,         // Unix timestamp of the assertion's expiration time
  "name": "Jan Jansen",
  "given_name": "Jan",
  "family_name": "Jansen",
  "email": "jan@gmail.com", // If present, the user's email address
  "email_verified": true,   // true, if Google has verified the email address
  "hd": "example.com",      // If present, the host domain of the user's GSuite email address
                            // If present, a URL to user's profile picture
  "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ",
  "locale": "en_US"         // User's locale, from browser or phone settings
}

Selain memverifikasi tanda tangan token, verifikasi bahwa penerbit pernyataan (bidang iss ) adalah https://accounts.google.com , bahwa audiens (bidang aud ) adalah ID klien yang Anda tetapkan, dan bahwa token belum kedaluwarsa ( exp bidang).

Dengan menggunakan bidang email , email_verified , dan hd Anda dapat menentukan apakah Google menghosting dan berwenang untuk sebuah alamat email. Jika Google berwenang, pengguna saat ini diketahui sebagai pemilik akun yang sah dan Anda dapat melewati sandi atau metode tantangan lainnya. Jika tidak, metode ini dapat digunakan untuk memverifikasi akun sebelum menautkan.

Kasus di mana Google berwibawa:

  • email memiliki akhiran @gmail.com , ini adalah akun Gmail.
  • email_verified benar dan hd disetel, ini adalah akun G Suite.

Pengguna dapat mendaftar untuk Akun Google tanpa menggunakan Gmail atau G Suite. Jika email tidak berisi akhiran @gmail.com dan hd tidak ada, Google tidak berwibawa dan sandi atau metode tantangan lainnya disarankan untuk memverifikasi pengguna. email_verfied juga bisa benar karena Google awalnya memverifikasi pengguna saat akun Google dibuat, namun kepemilikan akun email pihak ketiga mungkin telah berubah.

Validasi informasi pengguna dan buat akun baru

Periksa apakah salah satu dari kondisi berikut ini benar:

  • Akun Google ID, ditemukan di pernyataan ini sub bidang, adalah dalam database pengguna Anda.
  • Alamat email dalam pernyataan cocok dengan pengguna di database pengguna Anda.

Jika salah satu kondisi tersebut benar, minta pengguna untuk menautkan akun mereka yang ada dengan Akun Google mereka. Untuk melakukannya, merespon permintaan dengan HTTP 401 error yang menentukan error=linking_error dan memberikan alamat email pengguna sebagai login_hint . Berikut ini adalah contoh tanggapan:

HTTP/1.1 401 Unauthorized
Content-Type: application/json;charset=UTF-8

{
  "error":"linking_error",
  "login_hint":"foo@bar.com"
}

Ketika Google menerima respon error 401 dengan linking_error , Google mengirimkan pengguna untuk endpoint otorisasi Anda dengan login_hint sebagai parameter. Pengguna menyelesaikan penautan akun menggunakan alur penautan OAuth di browser mereka.

Jika tidak ada kondisi yang benar, buat akun pengguna baru dengan informasi yang disediakan di JWT. Akun baru biasanya tidak memiliki set kata sandi. Sebaiknya tambahkan Google Sign-In ke platform lain untuk memungkinkan pengguna masuk dengan Google di seluruh permukaan aplikasi Anda. Atau, Anda dapat mengirim email kepada pengguna tautan yang memulai alur pemulihan kata sandi Anda untuk memungkinkan pengguna menyetel kata sandi untuk masuk di platform lain.

Ketika penciptaan selesai, mengeluarkan token akses dan mengembalikan nilai-nilai dalam sebuah objek JSON dalam tubuh respon HTTPS Anda, seperti dalam contoh berikut:

{
  "token_type": "Bearer",
  "access_token": "ACCESS_TOKEN",

  "expires_in": SECONDS_TO_EXPIRATION
}

Memvalidasi implementasi Anda

You can validate your implementation by using the OAuth 2.0 Playground tool.

In the tool, do the following steps:

  1. Click Configuration to open the OAuth 2.0 Configuration window.
  2. In the OAuth flow field, select Client-side.
  3. In the OAuth Endpoints field, select Custom.
  4. Specify your OAuth 2.0 endpoint and the client ID you assigned to Google in the corresponding fields.
  5. In the Step 1 section, don't select any Google scopes. Instead, leave this field blank or type a scope valid for your server (or an arbitrary string if you don't use OAuth scopes). When you're done, click Authorize APIs.
  6. In the Step 2 and Step 3 sections, go through the OAuth 2.0 flow and verify that each step works as intended.

You can validate your implementation by using the Google Account Linking Demo tool.

In the tool, do the following steps:

  1. Click the Sign-in with Google button.
  2. Choose the account you'd like to link.
  3. Enter the service ID.
  4. Optionally enter one or more scopes that you will request access for.
  5. Click Start Demo.
  6. When prompted, confirm that you may consent and deny the linking request.
  7. Confirm that you are redirected to your platform.