Penautan yang Disederhanakan dengan OAuth dan Login dengan Google

Ringkasan

Penautan yang Sederhana untuk Login dengan Google berbasis OAuth menambahkan Login dengan Google di atas penautan OAuth. Hal ini memberikan pengalaman penautan yang lancar bagi pengguna Google, dan juga memungkinkan pembuatan akun, yang memungkinkan pengguna membuat akun baru di layanan Anda menggunakan Akun Google mereka.

Untuk melakukan penautan akun dengan OAuth dan Login dengan Google, ikuti langkah-langkah umum berikut:

  1. Pertama, minta pengguna untuk memberikan izin akses ke profil Google mereka.
  2. Gunakan informasi di profil mereka untuk memeriksa apakah akun pengguna ada.
  3. Untuk pengguna yang sudah ada, tautkan akun.
  4. Jika Anda tidak dapat menemukan kecocokan untuk pengguna Google di sistem autentikasi Anda, validasi token ID yang diterima dari Google. Anda kemudian dapat membuat pengguna berdasarkan informasi profil yang terdapat dalam token ID.
Gambar ini menunjukkan langkah-langkah bagi pengguna untuk menautkan akun Google mereka menggunakan alur penautan yang disederhanakan. Screenshot pertama menunjukkan cara pengguna dapat memilih aplikasi Anda untuk ditautkan. Screenshot kedua memungkinkan pengguna mengonfirmasi apakah mereka memiliki akun yang sudah ada di layanan Anda atau tidak. Screenshot ketiga memungkinkan pengguna memilih Akun Google yang ingin ditautkan. Screenshot keempat menampilkan konfirmasi untuk menautkan akun Google mereka dengan aplikasi Anda. Screenshot kelima menampilkan akun pengguna yang berhasil ditautkan di aplikasi Google.
Penautan Akun di ponsel pengguna dengan Penautan yang Sederhana

Gambar 1. Penautan Akun di ponsel pengguna dengan Penautan yang Sederhana

Penautan yang Sederhana: Alur OAuth + Login dengan Google

Diagram urutan berikut menjelaskan interaksi antara Pengguna, Google, dan endpoint pertukaran token Anda untuk Penautan yang Sederhana.

Pengguna Aplikasi /Server Google Token Anda Endpoint Pertukaran API Anda 1. Pengguna memulai penautan 2. Meminta Login dengan Google 3. Login dengan Google 4. memeriksa intent (Pernyataan JWT) 5. account_found: true/false Jika akun ditemukan: 6. mendapatkan intent Jika tidak ada akun: 6. membuat intent 7. access_token, refresh_token 8. Menyimpan token pengguna 9. Mengakses resource pengguna
Gambar 2. Urutan peristiwa dalam alur Penautan yang Sederhana.

Peran dan tanggung jawab

Tabel berikut menentukan peran dan tanggung jawab aktor dalam alur Penautan yang Sederhana.

Aktor / Komponen Peran GAL Tanggung Jawab
Aplikasi / Server Google Klien OAuth Mendapatkan izin pengguna untuk Login dengan Google, meneruskan pernyataan identitas (JWT) ke server Anda, dan menyimpan token yang dihasilkan dengan aman.
Endpoint Pertukaran Token Anda Penyedia Identitas / Server Otorisasi Memvalidasi pernyataan identitas, memeriksa akun yang ada, menangani intent penautan akun (check, get, create), dan menerbitkan token berdasarkan intent yang diminta.
API Layanan Anda Server Resource Memberikan akses ke data pengguna saat token akses yang valid diberikan.

Persyaratan untuk Penautan yang Sederhana

  • Menerapkan alur penautan OAuth dasar. Layanan Anda harus mendukung endpoint otorisasi dan pertukaran token yang sesuai dengan OAuth 2.0.
  • Endpoint pertukaran token Anda harus mendukung pernyataan JSON Web Token (JWT) dan menerapkan intent check, create, dan get.

Logika Keputusan untuk Penautan yang Sederhana

Logika berikut menentukan cara intent dipanggil selama alur Penautan yang Sederhana:

  1. Apakah pengguna memiliki akun di sistem autentikasi Anda? (Pengguna memutuskan dengan memilih YA atau TIDAK)
    1. YA : Apakah pengguna menggunakan email yang terkait dengan Akun Google mereka untuk login ke platform Anda? (Pengguna memutuskan dengan memilih YA atau TIDAK)
      1. YA : Apakah pengguna memiliki akun yang cocok di sistem autentikasi Anda? (check intent dipanggil untuk mengonfirmasi)
        1. YA : get intent dipanggil dan akun ditautkan jika get intent berhasil ditampilkan.
        2. TIDAK : Buat Akun Baru? (Pengguna memutuskan dengan memilih YA atau TIDAK)
          1. YA : create intent dipanggil dan akun ditautkan jika create intent berhasil ditampilkan.
          2. TIDAK : Alur penautan OAuth dipicu, pengguna diarahkan ke browser mereka, dan pengguna diberi opsi untuk menautkan dengan email lain.
      2. TIDAK : Alur penautan OAuth dipicu, pengguna diarahkan ke browser mereka, dan pengguna diberi opsi untuk menautkan dengan email lain.
    2. TIDAK : Apakah pengguna memiliki akun yang cocok di sistem autentikasi Anda? (check intent dipanggil untuk mengonfirmasi)
      1. YA : get intent dipanggil dan akun ditautkan jika get intent berhasil ditampilkan.
      2. TIDAK : create intent dipanggil dan akun ditautkan jika create intent berhasil ditampilkan.

Resep Penerapan

Endpoint pertukaran token Anda harus menerapkan intent check, get, dan create untuk mendukung Penautan yang Sederhana.

Ikuti langkah-langkah berikut untuk menangani berbagai intent:

Memeriksa akun pengguna yang sudah ada (maksud pemeriksaan)

Google memanggil endpoint pertukaran token Anda untuk memverifikasi apakah pengguna Google ada di sistem Anda. Untuk mengetahui detail parameter, lihat Maksud Penautan yang Disederhanakan.

Resep Penerapan

Untuk menangani intent check, lakukan tindakan berikut:

  1. Validasi permintaan:

    • Verifikasi client_id, client_secret, dan grant_type (harus urn:ietf:params:oauth:grant-type:jwt-bearer).
    • Validasi assertion (JWT) menggunakan kriteria di Validasi JWT.

  2. Cari pengguna:

    • Periksa apakah ID Akun Google (sub) atau alamat email di JWT cocok dengan pengguna di database Anda.

  3. Tanggapi:

    • Jika ditemukan: Menampilkan HTTP 200 OK dengan {"account_found": "true"}.
    • Jika tidak ditemukan: Menampilkan HTTP 404 Not Found dengan {"account_found": "false"}.

Menangani penautan otomatis (mendapatkan intent)

Jika akun ada, Google akan memanggil endpoint Anda dengan intent=get untuk mengambil token. Untuk mengetahui detail parameter, lihat Intent Penautan yang Disederhanakan.

Resep Penerapan

Untuk menangani intent get, lakukan tindakan berikut:

  1. Validasi permintaan:

    • Verifikasi client_id, client_secret, dan grant_type.
    • Validasi assertion (JWT).

  2. Cari pengguna:

    • Verifikasi bahwa pengguna ada menggunakan klaim sub atau email.

  3. Respons:

    • Jika berhasil: Buat dan tampilkan access_token, refresh_token, dan expires_in dalam respons JSON (HTTP 200 OK).
    • Jika penautan gagal: Tampilkan HTTP 401 Unauthorized dengan {"error": "linking_error"} dan login_hint opsional untuk kembali ke penautan OAuth standar.

Menangani pembuatan akun menggunakan Login dengan Google (buat intent)

Jika tidak ada akun, Google akan memanggil endpoint Anda dengan intent=create untuk membuat pengguna baru. Untuk mengetahui detail parameter, lihat Maksud Penautan yang Disederhanakan.

Resep Penerapan

Untuk menangani intent create, lakukan tindakan berikut:

  1. Validasi permintaan:

    • Verifikasi client_id, client_secret, dan grant_type.
    • Validasi assertion (JWT).

  2. Verifikasi bahwa pengguna tidak ada:

    • Periksa apakah sub atau email sudah ada di database Anda.
    • Jika pengguna ada: Menampilkan HTTP 401 Unauthorized dengan {"error": "linking_error", "login_hint": "USER_EMAIL"} untuk memaksa penggantian ke penautan OAuth.

  3. Buat akun:

    • Gunakan klaim sub, email, name, dan picture dari JWT untuk membuat catatan pengguna baru.

  4. Tanggapi:

    • Membuat dan menampilkan token dalam respons JSON (HTTP 200 OK).

Mendapatkan Client ID Google API Anda

Anda akan diminta untuk memberikan Client ID Google API Anda selama proses pendaftaran Penautan Akun . Untuk mendapatkan Client ID API Anda menggunakan project yang Anda buat saat menyelesaikan langkah-langkah penautan OAuth. Untuk melakukannya, selesaikan langkah-langkah berikut:

  1. Buka halaman Klien.

  2. Buat atau pilih project Google API.

    Jika project Anda tidak memiliki Client ID untuk Jenis aplikasi Web, klik Buat Klien untuk membuatnya. Pastikan untuk menyertakan domain situs Anda di kotak Asal JavaScript yang sah. Saat Anda melakukan pengujian atau pengembangan lokal, Anda harus menambahkan http://localhost dan http://localhost:<port_number> ke kolom Asal JavaScript yang sah.

Memvalidasi penerapan

You can validate your implementation by using the OAuth 2.0 Playground tool.

In the tool, do the following steps:

  1. Click Configuration to open the OAuth 2.0 Configuration window.
  2. In the OAuth flow field, select Client-side.
  3. In the OAuth Endpoints field, select Custom.
  4. Specify your OAuth 2.0 endpoint and the client ID you assigned to Google in the corresponding fields.
  5. In the Step 1 section, don't select any Google scopes. Instead, leave this field blank or type a scope valid for your server (or an arbitrary string if you don't use OAuth scopes). When you're done, click Authorize APIs.
  6. In the Step 2 and Step 3 sections, go through the OAuth 2.0 flow and verify that each step works as intended.

You can validate your implementation by using the Google Account Linking Demo tool.

In the tool, do the following steps:

  1. Click the Sign in with Google button.
  2. Choose the account you'd like to link.
  3. Enter the service ID.
  4. Optionally enter one or more scopes that you will request access for.
  5. Click Start Demo.
  6. When prompted, confirm that you may consent and deny the linking request.
  7. Confirm that you are redirected to your platform.