Penautan Efisien dengan OAuth dan Masuk dengan Google

Gambaran

Penautan Menyederhanakan Masuk dengan Google berbasis OAuth menambahkan Masuk dengan Google di atas penautan OAuth . Ini memberikan pengalaman penautan yang mulus bagi pengguna Google, dan juga memungkinkan penautan akun untuk pengguna yang terdaftar ke layanan Anda dengan identitas non-Google.

Untuk melakukan penautan akun dengan OAuth dan Masuk dengan Google, ikuti langkah-langkah umum berikut:

  1. Pertama, minta pengguna memberikan izin untuk mengakses profil Google mereka.
  2. Gunakan informasi di profil mereka untuk memeriksa apakah akun pengguna ada.
  3. Untuk pengguna yang sudah ada, tautkan akun tersebut.
  4. Jika Anda tidak dapat menemukan kecocokan untuk pengguna Google di sistem autentikasi Anda, validasikan token ID yang diterima dari Google. Anda kemudian dapat membuat pengguna berdasarkan informasi profil yang terdapat dalam token ID.

Gambar 3 . Penautan Akun di ponsel pengguna dengan Penautan yang Disederhanakan

Akun ditautkan menggunakan standar industri OAuth 2.0 implisit dan aliran kode otorisasi . Layanan Anda harus mendukung otorisasi yang sesuai dengan OAuth 2.0 dan titik akhir pertukaran token . Selain itu, titik akhir pertukaran token Anda harus mendukung pernyataan JSON Web Token (JWT) dan menerapkan check , create , dan get maksud.

Dapatkan Rahasia dan ID Klien Google API Anda

Anda perlu mendapatkan Rahasia dan ID Klien API menggunakan proyek yang Anda buat saat menyelesaikan langkah-langkah Penautan OAuth . Untuk melakukannya, selesaikan langkah-langkah berikut:

  1. Buka halaman Kredensial dari konsol Google API .
  2. Buat atau pilih proyek Google API.

    Jika proyek Anda tidak memiliki ID Klien untuk Jenis aplikasi Web, klik Buat kredensial> ID Klien OAuth untuk membuatnya. Pastikan untuk memasukkan domain situs Anda di kotak Asal JavaScript yang Diotorisasi . Saat Anda melakukan pengujian atau pengembangan lokal, Anda harus menambahkan http://localhost dan http://localhost:<port_number> ke bidang asal JavaScript Resmi .

Terapkan server OAuth Anda

Periksa akun pengguna yang ada

Setelah pengguna memberikan izin untuk mengakses profil Google mereka, Google mengirimkan permintaan yang berisi pernyataan identitas pengguna Google yang telah ditandatangani. Penegasan tersebut berisi informasi yang menyertakan ID Akun Google, nama, dan alamat email pengguna. Titik akhir pertukaran token yang dikonfigurasi untuk proyek Anda menangani permintaan itu.

Jika akun Google terkait sudah ada di sistem otentikasi Anda, titik akhir pertukaran token Anda merespons dengan account_found=true . Jika akun Google tidak cocok dengan pengguna yang sudah ada, titik akhir pertukaran token Anda mengembalikan kesalahan HTTP 404 Tidak Ditemukan dengan account_found=false .

Bentuk permintaannya adalah sebagai berikut:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&intent=check&assertion=JWT&scope=SCOPES

Titik akhir pertukaran token Anda harus dapat menangani parameter berikut:

Parameter titik akhir token
intent Untuk permintaan ini, nilai parameter ini adalah check .
grant_type Jenis token yang ditukar. Untuk permintaan ini, parameter ini memiliki nilai urn:ietf:params:oauth:grant-type:jwt-bearer .
assertion Token Web JSON (JWT) yang memberikan pernyataan bertanda tangan tentang identitas pengguna Google. JWT berisi informasi yang mencakup ID Akun Google, nama, dan alamat email pengguna.

Ketika titik akhir pertukaran token Anda menerima permintaan check , itu perlu memvalidasi dan mendekode pernyataan JWT.

Validasi dan dekode pernyataan JWT

Anda dapat memvalidasi dan mendekode pernyataan JWT dengan menggunakan perpustakaan decoding JWT untuk bahasa Anda . Gunakan kunci publik Google, tersedia dalam format JWK atau PEM , untuk memverifikasi tanda tangan token.

Saat didekodekan, pernyataan JWT terlihat seperti contoh berikut:

{
  "sub": "1234567890",      // The unique ID of the user's Google Account
  "iss": "https://accounts.google.com",        // The assertion's issuer
  "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID
  "iat": 233366400,         // Unix timestamp of the assertion's creation time
  "exp": 233370000,         // Unix timestamp of the assertion's expiration time
  "name": "Jan Jansen",
  "given_name": "Jan",
  "family_name": "Jansen",
  "email": "jan@gmail.com", // If present, the user's email address
  "email_verified": true,   // true, if Google has verified the email address
  "hd": "example.com",      // If present, the host domain of the user's GSuite email address
                            // If present, a URL to user's profile picture
  "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ",
  "locale": "en_US"         // User's locale, from browser or phone settings
}

Selain memverifikasi tanda tangan token, verifikasi bahwa penerbit pernyataan (bidang iss ) adalah https://accounts.google.com , bahwa audiens (bidang aud ) adalah ID klien yang Anda tetapkan, dan bahwa token belum kedaluwarsa ( exp bidang).

Dengan menggunakan bidang email , email_verified , dan hd Anda dapat menentukan apakah Google menghosting dan berwenang untuk sebuah alamat email. Jika Google berwenang, pengguna saat ini diketahui sebagai pemilik akun yang sah dan Anda dapat melewati sandi atau metode tantangan lainnya. Jika tidak, metode ini dapat digunakan untuk memverifikasi akun sebelum menautkan.

Kasus di mana Google berwibawa:

  • email memiliki akhiran @gmail.com , ini adalah akun Gmail.
  • email_verified benar dan hd disetel, ini adalah akun G Suite.

Pengguna dapat mendaftar untuk Akun Google tanpa menggunakan Gmail atau G Suite. Jika email tidak berisi akhiran @gmail.com dan hd tidak ada, Google tidak berwibawa dan sandi atau metode tantangan lainnya disarankan untuk memverifikasi pengguna. email_verfied juga bisa benar karena Google awalnya memverifikasi pengguna saat akun Google dibuat, namun kepemilikan akun email pihak ketiga mungkin telah berubah.

Periksa apakah akun Google sudah ada di sistem otentikasi Anda

Periksa apakah salah satu dari kondisi berikut ini benar:

  • ID Akun Google, ditemukan di sub bidang pernyataan, ada di basis data pengguna Anda.
  • Alamat email di pernyataan cocok dengan pengguna di database pengguna Anda.

Jika salah satu kondisinya benar, pengguna telah mendaftar. Jika demikian, kembalikan respons seperti berikut:

HTTP/1.1 200 Success
Content-Type: application/json;charset=UTF-8

{
  "account_found":"true",
}

Google kemudian menampilkan dialog persetujuan penautan kepada pengguna dan meminta persetujuan untuk cakupan yang diinginkan untuk melanjutkan penautan. Setelah Google mendapatkan persetujuan pengguna, Google mengirimkan permintaan get ke titik akhir token Anda untuk melanjutkan penautan.

Jika baik ID Akun Google maupun alamat email yang ditentukan dalam pernyataan cocok dengan pengguna di database Anda, pengguna tersebut belum mendaftar. Dalam kasus ini, titik akhir pertukaran token Anda perlu membalas dengan kesalahan HTTP 404 yang menentukan "account_found": "false" , seperti pada contoh berikut:

HTTP/1.1 404 Not found
Content-Type: application/json;charset=UTF-8

{
  "account_found":"false",
}
Saat Google menerima respons error 404 dengan error "account_found": "false" , Google menampilkan dialog kepada pengguna untuk meminta izin membuat akun baru dan akses ke cakupan yang diinginkan. Setelah Google mendapatkan persetujuan pengguna, Google memanggil endpoint pertukaran token Anda dengan nilai parameter intent disetel untuk create dan menyertakan token ID yang berisi informasi profil pengguna dengan permintaan tersebut.

Tangani tautan otomatis

Setelah pengguna memberikan izin untuk mengakses profil Google mereka, Google mengirimkan permintaan yang berisi pernyataan identitas pengguna Google yang telah ditandatangani. Penegasan tersebut berisi informasi yang menyertakan ID Akun Google, nama, dan alamat email pengguna. Titik akhir pertukaran token yang dikonfigurasi untuk proyek Anda menangani permintaan itu.

Jika Akun Google yang sesuai sudah ada di sistem autentikasi Anda, endpoint pertukaran token Anda mengembalikan token untuk pengguna. Jika Akun Google tidak cocok dengan pengguna yang sudah ada, titik akhir pertukaran token Anda linking_error error linking_error dan login_hint opsional.

Bentuk permintaannya adalah sebagai berikut:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&intent=get&assertion=JWT&scope=SCOPES

Titik akhir pertukaran token Anda harus dapat menangani parameter berikut:

Parameter titik akhir token
intent Untuk permintaan ini, nilai parameter ini adalah get .
grant_type Jenis token yang ditukar. Untuk permintaan ini, parameter ini memiliki nilai urn:ietf:params:oauth:grant-type:jwt-bearer .
assertion Token Web JSON (JWT) yang memberikan pernyataan bertanda tangan tentang identitas pengguna Google. JWT berisi informasi yang mencakup ID Akun Google, nama, dan alamat email pengguna.
scope Opsional: Cakupan apa pun yang Anda konfigurasikan Google untuk meminta dari pengguna.

Ketika titik akhir pertukaran token Anda menerima permintaan penautan, itu perlu memvalidasi dan mendekode pernyataan JWT.

Validasi dan dekode pernyataan JWT

Anda dapat memvalidasi dan mendekode pernyataan JWT dengan menggunakan perpustakaan decoding JWT untuk bahasa Anda . Gunakan kunci publik Google, tersedia dalam format JWK atau PEM , untuk memverifikasi tanda tangan token.

Saat didekodekan, pernyataan JWT terlihat seperti contoh berikut:

{
  "sub": "1234567890",      // The unique ID of the user's Google Account
  "iss": "https://accounts.google.com",        // The assertion's issuer
  "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID
  "iat": 233366400,         // Unix timestamp of the assertion's creation time
  "exp": 233370000,         // Unix timestamp of the assertion's expiration time
  "name": "Jan Jansen",
  "given_name": "Jan",
  "family_name": "Jansen",
  "email": "jan@gmail.com", // If present, the user's email address
  "email_verified": true,   // true, if Google has verified the email address
  "hd": "example.com",      // If present, the host domain of the user's GSuite email address
                            // If present, a URL to user's profile picture
  "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ",
  "locale": "en_US"         // User's locale, from browser or phone settings
}

Selain memverifikasi tanda tangan token, verifikasi bahwa penerbit pernyataan (bidang iss ) adalah https://accounts.google.com , bahwa audiens (bidang aud ) adalah ID klien yang Anda tetapkan, dan bahwa token belum kedaluwarsa ( exp bidang).

Dengan menggunakan bidang email , email_verified , dan hd Anda dapat menentukan apakah Google menghosting dan berwenang untuk sebuah alamat email. Jika Google berwenang, pengguna saat ini diketahui sebagai pemilik akun yang sah dan Anda dapat melewati sandi atau metode tantangan lainnya. Jika tidak, metode ini dapat digunakan untuk memverifikasi akun sebelum menautkan.

Kasus di mana Google berwibawa:

  • email memiliki akhiran @gmail.com , ini adalah akun Gmail.
  • email_verified benar dan hd disetel, ini adalah akun G Suite.

Pengguna dapat mendaftar untuk Akun Google tanpa menggunakan Gmail atau G Suite. Jika email tidak berisi akhiran @gmail.com dan hd tidak ada, Google tidak berwibawa dan sandi atau metode tantangan lainnya disarankan untuk memverifikasi pengguna. email_verfied juga bisa benar karena Google awalnya memverifikasi pengguna saat akun Google dibuat, namun kepemilikan akun email pihak ketiga mungkin telah berubah.

Periksa apakah akun Google sudah ada di sistem otentikasi Anda

Periksa apakah salah satu dari kondisi berikut ini benar:

  • ID Akun Google, ditemukan di sub bidang pernyataan, ada di basis data pengguna Anda.
  • Alamat email di pernyataan cocok dengan pengguna di database pengguna Anda.

Dalam beberapa kasus, penautan akun berdasarkan token ID mungkin gagal untuk pengguna. Jika melakukannya karena alasan apa pun, titik akhir pertukaran token Anda perlu membalas dengan kesalahan HTTP 401 yang menentukan error=linking_error , seperti yang ditunjukkan contoh berikut:

HTTP/1.1 401 Unauthorized
Content-Type: application/json;charset=UTF-8

{
  "error":"linking_error",
  "login_hint":"foo@bar.com"
}
Saat Google menerima respons kesalahan 401 dengan linking_error , Google memanggil titik akhir pertukaran token Anda dengan permintaan berikut:

  • Parameter intent disetel untuk create
  • JWT dengan token ID dan informasi profil pengguna

Tangani pembuatan akun melalui Masuk dengan Google

Saat pengguna perlu membuat akun di layanan Anda, Google membuat permintaan ke titik akhir pertukaran token Anda yang menentukan intent=create .

Bentuk permintaannya adalah sebagai berikut:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

response_type=token&grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&scope=SCOPES&intent=create&assertion=JWT[&NEW_ACCOUNT_INFO]

Titik akhir pertukaran token Anda harus mampu menangani parameter berikut:

Parameter titik akhir token
intent Untuk permintaan ini, nilai parameter ini create .
grant_type Jenis token yang ditukar. Untuk permintaan ini, parameter ini memiliki nilai urn:ietf:params:oauth:grant-type:jwt-bearer .
assertion Token Web JSON (JWT) yang memberikan pernyataan bertanda tangan tentang identitas pengguna Google. JWT berisi informasi yang mencakup ID Akun Google, nama, dan alamat email pengguna.

JWT dalam parameter assertion berisi ID Akun Google, nama, dan alamat email pengguna, yang dapat Anda gunakan untuk membuat akun baru di layanan Anda.

Untuk menanggapi permintaan pembuatan akun, titik akhir pertukaran token Anda harus melakukan langkah-langkah di dua bagian berikut.

Validasi dan dekode pernyataan JWT

Anda dapat memvalidasi dan mendekode pernyataan JWT dengan menggunakan perpustakaan decoding JWT untuk bahasa Anda . Gunakan kunci publik Google, tersedia dalam format JWK atau PEM , untuk memverifikasi tanda tangan token.

Saat didekodekan, pernyataan JWT terlihat seperti contoh berikut:

{
  "sub": "1234567890",      // The unique ID of the user's Google Account
  "iss": "https://accounts.google.com",        // The assertion's issuer
  "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID
  "iat": 233366400,         // Unix timestamp of the assertion's creation time
  "exp": 233370000,         // Unix timestamp of the assertion's expiration time
  "name": "Jan Jansen",
  "given_name": "Jan",
  "family_name": "Jansen",
  "email": "jan@gmail.com", // If present, the user's email address
  "email_verified": true,   // true, if Google has verified the email address
  "hd": "example.com",      // If present, the host domain of the user's GSuite email address
                            // If present, a URL to user's profile picture
  "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ",
  "locale": "en_US"         // User's locale, from browser or phone settings
}

Selain memverifikasi tanda tangan token, verifikasi bahwa penerbit pernyataan (bidang iss ) adalah https://accounts.google.com , bahwa audiens (bidang aud ) adalah ID klien yang Anda tetapkan, dan bahwa token belum kedaluwarsa ( exp bidang).

Dengan menggunakan bidang email , email_verified , dan hd Anda dapat menentukan apakah Google menghosting dan berwenang untuk sebuah alamat email. Jika Google berwenang, pengguna saat ini diketahui sebagai pemilik akun yang sah dan Anda dapat melewati sandi atau metode tantangan lainnya. Jika tidak, metode ini dapat digunakan untuk memverifikasi akun sebelum menautkan.

Kasus di mana Google berwibawa:

  • email memiliki akhiran @gmail.com , ini adalah akun Gmail.
  • email_verified benar dan hd disetel, ini adalah akun G Suite.

Pengguna dapat mendaftar untuk Akun Google tanpa menggunakan Gmail atau G Suite. Jika email tidak berisi akhiran @gmail.com dan hd tidak ada, Google tidak berwibawa dan sandi atau metode tantangan lainnya disarankan untuk memverifikasi pengguna. email_verfied juga bisa benar karena Google awalnya memverifikasi pengguna saat akun Google dibuat, namun kepemilikan akun email pihak ketiga mungkin telah berubah.

Validasi informasi pengguna dan buat akun baru

Periksa apakah salah satu dari kondisi berikut ini benar:

  • ID Akun Google, ditemukan di sub bidang pernyataan, ada di basis data pengguna Anda.
  • Alamat email di pernyataan cocok dengan pengguna di database pengguna Anda.

Jika salah satu ketentuan benar, minta pengguna untuk menautkan akun mereka yang ada dengan Akun Google mereka. Untuk melakukannya, tanggapi permintaan dengan kesalahan HTTP 401 yang menetapkan error=linking_error dan berikan alamat email pengguna sebagai login_hint . Berikut ini adalah contoh tanggapannya:

HTTP/1.1 401 Unauthorized
Content-Type: application/json;charset=UTF-8

{
  "error":"linking_error",
  "login_hint":"foo@bar.com"
}

Saat Google menerima respons kesalahan 401 dengan linking_error , Google linking_error pengguna ke titik akhir otorisasi Anda dengan login_hint sebagai parameter. Pengguna menyelesaikan penautan akun menggunakan alur penautan OAuth di browser mereka.

Jika tidak ada ketentuan yang benar, buat akun pengguna baru dengan informasi yang disediakan di JWT. Akun baru biasanya tidak memiliki set kata sandi. Sebaiknya tambahkan Masuk dengan Google ke platform lain untuk memungkinkan pengguna masuk dengan Google di seluruh permukaan aplikasi Anda. Atau, Anda dapat mengirim email kepada pengguna tautan yang memulai alur pemulihan sandi Anda untuk memungkinkan pengguna menyetel sandi untuk masuk di platform lain.

Saat pembuatan selesai, keluarkan token akses dan segarkan token dan kembalikan nilai dalam objek JSON dalam isi respons HTTPS Anda, seperti dalam contoh berikut:

{
  "token_type": "Bearer",
  "access_token": "ACCESS_TOKEN",

  "refresh_token": "REFRESH_TOKEN",

  "expires_in": SECONDS_TO_EXPIRATION
}

Memvalidasi implementasi Anda

You can validate your implementation by using the OAuth 2.0 Playground tool.

In the tool, do the following steps:

  1. Click Configuration to open the OAuth 2.0 Configuration window.
  2. In the OAuth flow field, select Client-side.
  3. In the OAuth Endpoints field, select Custom.
  4. Specify your OAuth 2.0 endpoint and the client ID you assigned to Google in the corresponding fields.
  5. In the Step 1 section, don't select any Google scopes. Instead, leave this field blank or type a scope valid for your server (or an arbitrary string if you don't use OAuth scopes). When you're done, click Authorize APIs.
  6. In the Step 2 and Step 3 sections, go through the OAuth 2.0 flow and verify that each step works as intended.

You can validate your implementation by using the Google Account Linking Demo tool.

In the tool, do the following steps:

  1. Click the Sign-in with Google button.
  2. Choose the account you'd like to link.
  3. Enter the service ID.
  4. Optionally enter one or more scopes that you will request access for.
  5. Click Start Demo.
  6. When prompted, confirm that you may consent and deny the linking request.
  7. Confirm that you are redirected to your platform.