Opis

Połączenie kont umożliwia właścicielom kont Google szybkie, sprawne i bezpieczne łączenie się z Twoimi usługami. Możesz wdrożyć „Łączenie konta Google”, aby udostępniać dane użytkownika z Twojej platformy aplikacjom i usługom Google.

bezpieczny protokół OAuth 2.0 pozwala bezpiecznie połączyć konto Google użytkownika z jego kontem na platformie, dzięki czemu aplikacje i urządzenia Google mają dostęp do Twoich usług.

Użytkownicy mogą połączyć lub rozłączyć swoje konta, a także utworzyć nowe konto na Twojej platformie za pomocą funkcji łączenia kont Google.

Przypadki użycia

Oto kilka przykładów implementacji połączenia kont Google:

  • Udostępniaj dane użytkownika ze swojej platformy aplikacjom i usługom Google.

  • Odtwarzanie filmów i filmów za pomocą Google TV.

  • Zarządzaj połączonymi urządzeniami Google Smart Home i steruj nimi za pomocą aplikacji Google Home i Asystenta Google: „OK Google, włącz światło”.

  • Twórz dostosowane do potrzeb i potrzeby Asystenta Google za pomocą rozmów, „OK Google, zamów moją zwykłą książkę w Starbucksie”.

  • Pozwól użytkownikom zdobywać nagrody, oglądając odpowiednie transmisje na żywo w YouTube po połączeniu ich konta Google z kontem partnera w programie nagród.

  • Podczas rejestracji wstępnie uzupełnij nowe konta danymi udostępnianymi na koncie Google.

Obsługiwane funkcje

Funkcje łączenia kont Google obsługują te funkcje:

  • Szybkie i łatwe udostępnianie danych przy użyciu prośby o połączenie OAuth.

  • Zadbaj o większe bezpieczeństwo dzięki przepływowi kodu autoryzacji połączenia OAuth.

  • Loguj dotychczasowych użytkowników lub zarejestruj na swojej platformie nowych, zweryfikowanych użytkowników Google, uzyskaj ich zgodę i bezpiecznie udostępniaj dane za pomocą uproszczonych połączeń.

  • Usprawnij działanie aplikacji, korzystając z funkcji App Flip. W zaufanej aplikacji Google jednym kliknięciem możesz bezpiecznie otworzyć zweryfikowaną aplikację na Androida lub iOS, a drugie przyznać zgodę użytkownika i połączyć konta.

  • Zwiększ prywatność użytkowników, definiując zakresy niestandardowe, aby udostępniać tylko niezbędne dane, i zwiększaj zaufanie użytkowników, definiując sposób wykorzystywania ich danych.

  • Dostęp do danych i usług hostowanych na Twojej platformie możesz anulować, odłączając konta. Implementacja opcjonalnego punktu końcowego odwołania tokena umożliwia synchronizację zdarzeń inicjowanych przez Google z ochroną przez wiele kont (RISC). pozwala powiadamiać Google o zdarzeniach odłączenia, które mają miejsce na Twojej platformie.

Procesy łączenia kont

Istnieją 3 procesy łączenia kont Google, z których wszystkie są oparte na protokole OAuth. Wymagają one zarządzania punktami końcowymi autoryzacji i giełd tokenów zgodnych z OAuth 2.0.

W ramach procesu łączenia udostępniasz Google tokeny dostępu do poszczególnych kont Google po uzyskaniu zgody właścicieli kont na połączenie ich kont i udostępnienie danych.

Łączenie z OAuth („OAuth OAuth”)

Jest to podstawowy proces OAuth, który polega na odsyłaniu użytkowników do witryny i łączeniu ich. Użytkownik zostaje przekierowany do Twojej witryny, aby zalogować się na swoje konto. Po zalogowaniu się użytkownik zgadza się na udostępnianie Google swoich danych w usłudze. Na tym etapie konto Google użytkownika będzie połączone z usługą.

Łączenie przez OAuth obsługuje kod autoryzacji i pośrednie przepływy OAuth. Twoja usługa musi hostować punkt końcowy autoryzacji OAuth 2.0 zgodny z protokołem OAuth i podczas korzystania z kodu autoryzacji musi być wyeksponowany zarówno punkt końcowy autoryzacji, jak i punkt końcowy wymiany tokenów.

Rysunek 1. Łączenie kont na telefonie użytkownika z protokołem OAuth w internecie

Łączenie aplikacji opartych na protokole OAuth („Odwróć aplikację”)

Proces OAuth, który kieruje użytkowników do aplikacji w celu połączenia.

Korzystanie z protokołu OAuth opartego na protokole OAuth pomaga użytkownikom przechodzić pomiędzy zweryfikowanymi aplikacjami mobilnymi na Androida i iOS oraz platformą Google w celu sprawdzenia proponowanych zmian dostępu do danych i uzyskania zgody na połączenie 101}Twoje konto na platformie, korzystając z konta Google. Aby można było włączyć App Flip, Twoja usługa musi obsługiwa棹czenie z OAuth lubLogowanie przez Google na podstawie protokołu OAuth za pomocąkod autoryzacji.

Aplikacja Flip jest obsługiwana na Androidzie i iOS.

Jak to działa:

Aplikacja Google sprawdza, czy aplikacja jest zainstalowana na urządzeniu użytkownika:

  • Jeśli aplikacja zostanie znaleziona, użytkownik zostanie do niej odwrócony. Aplikacja zbiera od użytkownika zgodę na połączenie konta z Google, a następnie powrót do usługi Google.
  • Jeśli aplikacja nie zostanie znaleziona lub wystąpi błąd podczas łączenia aplikacji, zostanie przekierowany do Uproszczonej lub internetowej procedury OAuth.

Rysunek 2. Łączenie konta na telefonie użytkownika z funkcją Flip aplikacji

Ułatwione łączenie oparte na protokole OAuth („strumieniowe”)

Połączenie z funkcją Logowania przez Google na podstawie protokołu OAuth dodaje funkcję Logowanie przez Google do połączeń z protokołem OAuth. Dzięki temu użytkownicy mogą dokończyć łączenie, nie opuszczając platformy Google, a jednocześnie zmniejszają liczbę przerw i rzuceń. Uproszczone łączenie za pomocą protokołu OAuth. Twoja usługa musi obsługiwać punkty końcowe autoryzacji i wymiany tokenów zgodne z OAuth 2.0. Dodatkowo punkt końcowy wymiany tokenów musi obsługiwać potwierdzenia JSON Web Token (JWT) i zaimplementować metodę check. createi get, chcą.

Jak to działa:

Google potwierdza własność konta użytkownika i przekazuje Ci te informacje:

  • Jeśli konto użytkownika w bazie danych istnieje, użytkownik połączy je z kontem w Twojej usłudze.
  • Jeśli użytkownik nie ma żadnego konta w Twojej bazie danych, może on utworzyć nowe konto innej firmy przy użyciu informacji podanych przez Google (adres e-mail, imię i nazwisko oraz zdjęcie profilowe) lub zalogować się i połączyć z innego adresu e-mail (wymaga to zalogowania się w usłudze przez Web OAuth).

Rysunek 3. Łączenie kont na telefonie użytkownika z prostym łączeniem

Którego procesu użyć?

Zalecamy wdrożenie wszystkich schematów połączeń, aby zadbać o jak najlepsze wrażenia użytkowników podczas łączenia. Uproszczona obsługa i przerzucanie aplikacji usprawniają proces łączenia kont, ponieważ użytkownicy mogą dokończyć proces łączenia w kilku prostych krokach. Łączenie przez protokół OAuth w witrynie jest na najniższym poziomie wysiłku, dlatego warto zacząć od dodania kolejnego procesu łączenia.

Praca z tokenami

Łączenie kont Google odbywa się na podstawie standardu branżowego OAuth 2.0.

Po uzyskaniu od właścicieli kont zgody na połączenie ich kont i udostępnienie danych wydajesz Google tokeny dostępu do poszczególnych kont Google.

Typy tokenów

OAuth 2.0 używa ciągów zwanych tokenami do komunikacji między agentem użytkownika, aplikacją kliencką i serwerem OAuth 2.0.

Podczas łączenia kont można używać trzech typów tokenów OAuth 2.0:

  • Kod autoryzacji . Krótkotrwały token, który można wymienić na token dostępu i odświeżania. Ze względów bezpieczeństwa Google wywołuje punkt końcowy autoryzacji, aby uzyskać kod jednorazowego użytku lub bardzo krótkotrwały.

  • Token dostępu . Token, który zapewnia okazicielowi dostęp do zasobu. Aby ograniczyć ekspozycję, która może wynikać z utraty tego tokena, ma on ograniczony czas życia, zwykle wygasa po około godzinie.

  • Odśwież token . Długotrwały token, który można wymienić na nowy token dostępu po wygaśnięciu tokenu dostępu. Gdy Twoja usługa integruje się z Google, ten token jest przechowywany i używany wyłącznie przez Google. Google wywołuje punkt końcowy wymiany tokenów w celu wymiany tokenów odświeżania na tokeny dostępu, które z kolei są używane do uzyskiwania dostępu do danych użytkownika.

Obsługa tokenów

Warunki wyścigu w środowiskach klastrowych i wymiany klient-serwer mogą skutkować złożonymi scenariuszami czasowymi i obsługi błędów podczas pracy z tokenami. Na przykład:

  • Otrzymujesz prośbę o nowy token dostępu i wydajesz nowy token dostępu. Jednocześnie otrzymujesz żądanie dostępu do zasobu usługi przy użyciu poprzedniego, niewygasłego tokenu dostępu.
  • Twoja odpowiedź tokena odświeżania jeszcze nie dotarła (lub nigdy nie została odebrana) przez Google. W międzyczasie w żądaniu od Google używany jest poprzednio ważny token odświeżania.

Żądania i odpowiedzi mogą przychodzić w dowolnej kolejności lub wcale, ze względu na usługi asynchroniczne działające w klastrze, zachowanie sieci lub w inny sposób.

Nie można zagwarantować natychmiastowego iw pełni spójnego stanu współdzielenia zarówno w ramach systemów obsługi tokenów, jak i między nimi. Wiele ważnych, niewygasłych tokenów może współistnieć w krótkim czasie w systemach lub między nimi. Aby zminimalizować negatywny wpływ na użytkowników, zalecamy wykonanie następujących czynności:

  • Akceptuj tokeny dostępu, które utraciły ważność, nawet po wystawieniu nowszego tokenu.
  • Skorzystaj z alternatyw, aby Odśwież rotację tokenów .
  • Obsługa wielu jednocześnie ważnych tokenów dostępu i odświeżania. Ze względów bezpieczeństwa należy ograniczyć liczbę tokenów i okres istnienia tokenu.
Obsługa konserwacji i przestojów

Podczas prac konserwacyjnych lub nieplanowanych przestojów Google może nie być w stanie zadzwonić do punktów końcowych autoryzacji lub wymiany tokenów w celu uzyskania dostępu i odświeżenia tokenów.

Twoje punkty końcowe powinny odpowiedzieć kodem błędu 503 i pustą treścią. W takim przypadku Google ponawia nieudane żądania wymiany tokenów przez ograniczony czas. Pod warunkiem, że Google będzie w stanie później uzyskać tokeny odświeżania i dostępu, nieudane żądania nie będą widoczne dla użytkowników.

Niepowodzenie próśb o token dostępu skutkuje widocznym błędem, jeśli zostało zainicjowane przez użytkownika. Użytkownicy będą musieli ponowić próbę niepowodzenia łączenia, jeśli zostanie użyty niejawny przepływ OAuth 2.0.

Zalecenia

Istnieje wiele rozwiązań minimalizujących wpływ konserwacji. Kilka opcji do rozważenia:

  • Utrzymaj istniejącą usługę i kieruj ograniczoną liczbę żądań do nowo zaktualizowanej usługi. Przeprowadź migrację wszystkich żądań dopiero po potwierdzeniu oczekiwanej funkcjonalności.

  • Zmniejsz liczbę żądań tokenów w okresie konserwacji:

    • Ogranicz okresy konserwacji do mniej niż okres istnienia tokenu dostępu.

    • Tymczasowo zwiększ żywotność tokena dostępu:

      1. Zwiększ okres istnienia tokenu, aby był dłuższy niż okres konserwacji.
      2. Poczekaj dwa razy dłużej niż okres istnienia tokenu dostępu, umożliwiając użytkownikom wymianę tokenów krótkotrwałych na tokeny o dłuższym czasie trwania.
      3. Wejdź do konserwacji.
      4. Odpowiadaj na żądania tokenów za pomocą kodu błędu 503 i pustej treści.
      5. Zakończ konserwację.
      6. Zmniejsz okres istnienia tokenu z powrotem do normalnego.

Rejestracja w Google

Potrzebujemy szczegółowych informacji o konfiguracji OAuth 2.0 i udostępnimy dane logowania, aby umożliwić połączenie kont. Więcej informacji znajdziesz w sekcji rejestracja.