আপনার সার্ভার সাইডে গুগল আইডি টোকেন যাচাই করুন

Google Identity Services অথবা OAuth 2.0 অথরাইজেশন কোড ফ্লো ব্যবহার করার সময়, Google POST পদ্ধতি ব্যবহার করে ID টোকেনটি রিডাইরেক্ট এন্ডপয়েন্টে ফেরত পাঠায়। অন্যথায়, OIDC ইমপ্লিসিট ফ্লো একটি GET অনুরোধ ব্যবহার করে। ফলস্বরূপ, আপনার অ্যাপ্লিকেশনটি আপনার সার্ভারে এই প্রাপ্ত শংসাপত্রগুলি নিরাপদে প্রেরণ করার জন্য দায়ী।

    HTTP/1.1 302 Found
    Location: https://<REDIRECT_URI>#access_token=<ACCESS_TOKEN>&token_type=bearer&expires_in=<TIME_IN_SECONDS>&scope=<SCOPE>&state=<STATE_STRING>
    

POST /auth/token-verification HTTP/1.1
Host: example.com
Content-Type: application/json;charset=UTF-8
Cookie: g_csrf_token=<CSRF_TOKEN>
Origin: https://example.com
Content-Length: <LENGTH_OF_JSON_BODY>
    {
      "credential": "<ID_TOKEN>",
      "g_csrf_token": "<CSRF_TOKEN>",
      "client_id": "<CLIENT_ID>"
    }

1. ক্রস-সাইট রিকোয়েস্ট ফোরজি (CSRF) আক্রমণ প্রতিরোধ করতে g_csrf_token যাচাই করা:

   • g_csrf_token কুকি থেকে CSRF টোকেন মান বের করুন।
   • অনুরোধের বডি থেকে CSRF টোকেন মান বের করুন। GIS লাইব্রেরিতে এই টোকেনটি POST অনুরোধের বডিতে একটি প্যারামিটার হিসেবে অন্তর্ভুক্ত করা হয়েছে, যার নাম g_csrf_token ও।
   • দুটি টোকেন মান তুলনা করুন
     • যদি উভয় মানই উপস্থিত থাকে এবং সম্পূর্ণরূপে মিলে যায়, তাহলে অনুরোধটি বৈধ বলে বিবেচিত হবে এবং আপনার ডোমেন থেকে উদ্ভূত হবে।
     • যদি মানগুলি উপস্থিত না থাকে বা মেলে না, তাহলে সার্ভার দ্বারা অনুরোধটি প্রত্যাখ্যান করতে হবে। এই চেকটি নিশ্চিত করে যে অনুরোধটি আপনার নিজস্ব ডোমেনে চলমান জাভাস্ক্রিপ্ট থেকে শুরু করা হয়েছে, কারণ শুধুমাত্র আপনার ডোমেনই g_csrf_token কুকি অ্যাক্সেস করতে পারে।

2. আইডি টোকেন যাচাই করুন।

   টোকেনটি বৈধ কিনা তা যাচাই করতে, নিম্নলিখিত মানদণ্ডগুলি সন্তুষ্ট তা নিশ্চিত করুন:

   • আইডি টোকেনটি Google দ্বারা সঠিকভাবে স্বাক্ষরিত। টোকেনের স্বাক্ষর যাচাই করতে Google-এর সর্বজনীন কী ( JWK বা PEM ফর্ম্যাটে উপলব্ধ) ব্যবহার করুন। এই কীগুলি নিয়মিত ঘোরানো হয়; আপনার কখন সেগুলি আবার পুনরুদ্ধার করা উচিত তা নির্ধারণ করতে প্রতিক্রিয়াতে Cache-Control শিরোনামটি পরীক্ষা করুন।
   • আইডি টোকেনে aud মান আপনার অ্যাপের ক্লায়েন্ট আইডিগুলির একটির সমান। আপনার অ্যাপ্লিকেশানের ব্যাকএন্ড সার্ভারে একই ব্যবহারকারীর ডেটা অ্যাক্সেস করতে ব্যবহৃত কোনও দূষিত অ্যাপে জারি করা আইডি টোকেনগুলি প্রতিরোধ করতে এই চেকটি প্রয়োজনীয়৷
   • ID টোকেনে iss এর মান accounts.google.com বা https://accounts.google.com এর সমান।
   • আইডি টোকেনের exp শেষ হয় নি।
   • আপনি যদি আইডি টোকেনটি Google Workspace বা ক্লাউড সংস্থার অ্যাকাউন্টের প্রতিনিধিত্ব করে তা যাচাই করতে চান, তাহলে আপনি hd দাবিটি পরীক্ষা করতে পারেন, যা ব্যবহারকারীর হোস্ট করা ডোমেন নির্দেশ করে। শুধুমাত্র নির্দিষ্ট ডোমেনের সদস্যদের জন্য একটি সম্পদের অ্যাক্সেস সীমাবদ্ধ করার সময় এটি অবশ্যই ব্যবহার করা উচিত। এই দাবির অনুপস্থিতি নির্দেশ করে যে অ্যাকাউন্টটি Google হোস্ট করা ডোমেনের অন্তর্গত নয়।

   email , email_verified এবং hd ক্ষেত্রগুলি ব্যবহার করে, আপনি নির্ধারণ করতে পারেন যে Google হোস্ট করে এবং একটি ইমেল ঠিকানার জন্য অনুমোদিত কিনা। যে ক্ষেত্রে Google কর্তৃত্বপূর্ণ, ব্যবহারকারী বৈধ অ্যাকাউন্টের মালিক হিসাবে পরিচিত, এবং আপনি পাসওয়ার্ড বা অন্যান্য চ্যালেঞ্জ পদ্ধতি এড়িয়ে যেতে পারেন।

   যেসব ক্ষেত্রে Google কর্তৃত্বপূর্ণ:

   • email একটি @gmail.com প্রত্যয় রয়েছে, এটি একটি Gmail অ্যাকাউন্ট।
   • email_verified সত্য এবং hd সেট করা আছে, এটি একটি Google Workspace অ্যাকাউন্ট।

   ব্যবহারকারীরা Gmail বা Google Workspace ব্যবহার না করেই Google অ্যাকাউন্টের জন্য নিবন্ধন করতে পারেন। যখন email @gmail.com প্রত্যয় থাকে না এবং hd অনুপস্থিত থাকে, তখন Google অনুমোদিত নয় এবং ব্যবহারকারীকে যাচাই করার জন্য পাসওয়ার্ড বা অন্যান্য চ্যালেঞ্জ পদ্ধতি সুপারিশ করা হয়। email_verified ও সত্য হতে পারে কারণ Google প্রাথমিকভাবে ব্যবহারকারীকে যাচাই করেছিল যখন Google অ্যাকাউন্ট তৈরি হয়েছিল, তবে তৃতীয় পক্ষের ইমেল অ্যাকাউন্টের মালিকানা তখন থেকে পরিবর্তিত হতে পারে।

   এই যাচাইকরণ পদক্ষেপগুলি সম্পাদন করার জন্য আপনার নিজের কোড লেখার পরিবর্তে, আমরা দৃঢ়ভাবে আপনার প্ল্যাটফর্মের জন্য একটি Google API ক্লায়েন্ট লাইব্রেরি বা একটি সাধারণ-উদ্দেশ্য JWT লাইব্রেরি ব্যবহার করার পরামর্শ দিই। ডেভেলপমেন্ট এবং ডিবাগিংয়ের জন্য, আপনি আমাদের tokeninfo যাচাইকরণ শেষ পয়েন্টে কল করতে পারেন।

   একটি Google API ক্লায়েন্ট লাইব্রেরি ব্যবহার করা

   Google API ক্লায়েন্ট লাইব্রেরিগুলির একটি ব্যবহার করা (যেমন Java , Node.js , PHP , Python ) হল একটি প্রোডাকশন পরিবেশে Google আইডি টোকেন যাচাই করার প্রস্তাবিত উপায়৷

   জাভা

   জাভাতে একটি আইডি টোকেন যাচাই করতে, GoogleIdTokenVerifier অবজেক্ট ব্যবহার করুন। যেমন:

   import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
   import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload;
   import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;
   
   ...
   
   GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
       // Specify the WEB_CLIENT_ID of the app that accesses the backend:
       .setAudience(Collections.singletonList(WEB_CLIENT_ID))
       // Or, if multiple clients access the backend:
       //.setAudience(Arrays.asList(WEB_CLIENT_ID_1, WEB_CLIENT_ID_2, WEB_CLIENT_ID_3))
       .build();
   
   // (Receive idTokenString by HTTPS POST)
   
   GoogleIdToken idToken = verifier.verify(idTokenString);
   if (idToken != null) {
     Payload payload = idToken.getPayload();
   
     // Print user identifier. This ID is unique to each Google Account, making it suitable for
     // use as a primary key during account lookup. Email is not a good choice because it can be
     // changed by the user.
     String userId = payload.getSubject();
     System.out.println("User ID: " + userId);
   
     // Get profile information from payload
     String email = payload.getEmail();
     boolean emailVerified = Boolean.valueOf(payload.getEmailVerified());
     String name = (String) payload.get("name");
     String pictureUrl = (String) payload.get("picture");
     String locale = (String) payload.get("locale");
     String familyName = (String) payload.get("family_name");
     String givenName = (String) payload.get("given_name");
   
     // Use or store profile information
     // ...
   
   } else {
     System.out.println("Invalid ID token.");
   }

   GoogleIdTokenVerifier.verify() পদ্ধতি JWT স্বাক্ষর, aud দাবি, iss দাবি এবং exp দাবি যাচাই করে।

   আপনি যদি আইডি টোকেনটি Google Workspace বা ক্লাউড সংস্থার অ্যাকাউন্টের প্রতিনিধিত্ব করে তা যাচাই করতে চান, তাহলে আপনি Payload.getHostedDomain() পদ্ধতিতে ফেরত দেওয়া ডোমেন নাম চেক করে hd দাবিটি যাচাই করতে পারেন। অ্যাকাউন্টটি একটি ডোমেন বা সংস্থা দ্বারা পরিচালিত হয় তা নিশ্চিত করার জন্য email দাবির ডোমেন অপর্যাপ্ত৷

   Node.js

   Node.js-এ একটি আইডি টোকেন যাচাই করতে, Node.js-এর জন্য Google Auth Library ব্যবহার করুন। লাইব্রেরি ইনস্টল করুন:

   npm install google-auth-library --save

   তারপর, verifyIdToken() ফাংশনটি কল করুন। যেমন:

   const {OAuth2Client} = require('google-auth-library');
   const client = new OAuth2Client();
   async function verify() {
     const ticket = await client.verifyIdToken({
         idToken: token,
         audience: WEB_CLIENT_ID,  // Specify the WEB_CLIENT_ID of the app that accesses the backend
         // Or, if multiple clients access the backend:
         //[WEB_CLIENT_ID_1, WEB_CLIENT_ID_2, WEB_CLIENT_ID_3]
     });
     const payload = ticket.getPayload();
     // This ID is unique to each Google Account, making it suitable for use as a primary key
     // during account lookup. Email is not a good choice because it can be changed by the user.
     const userid = payload['sub'];
     // If the request specified a Google Workspace domain:
     // const domain = payload['hd'];
   }
   verify().catch(console.error);

   verifyIdToken ফাংশন JWT স্বাক্ষর, aud দাবি, exp claim এবং iss দাবি যাচাই করে।

   আপনি যদি আইডি টোকেনটি Google Workspace বা ক্লাউড সংস্থার অ্যাকাউন্টের প্রতিনিধিত্ব করে তা যাচাই করতে চান, তাহলে আপনি hd দাবিটি পরীক্ষা করতে পারেন, যা ব্যবহারকারীর হোস্ট করা ডোমেন নির্দেশ করে। শুধুমাত্র নির্দিষ্ট ডোমেনের সদস্যদের জন্য একটি সম্পদের অ্যাক্সেস সীমাবদ্ধ করার সময় এটি অবশ্যই ব্যবহার করা উচিত। এই দাবির অনুপস্থিতি নির্দেশ করে যে অ্যাকাউন্টটি Google হোস্ট করা ডোমেনের অন্তর্গত নয়।

   পিএইচপি

   পিএইচপি-তে একটি আইডি টোকেন যাচাই করতে, পিএইচপি-এর জন্য Google API ক্লায়েন্ট লাইব্রেরি ব্যবহার করুন। লাইব্রেরি ইনস্টল করুন (উদাহরণস্বরূপ, কম্পোজার ব্যবহার করে):

   composer require google/apiclient

   তারপর, verifyIdToken() ফাংশনটি কল করুন। যেমন:

   require_once 'vendor/autoload.php';
   
   // Get $id_token via HTTPS POST.
   
   $client = new Google_Client(['client_id' => $WEB_CLIENT_ID]);  // Specify the WEB_CLIENT_ID of the app that accesses the backend
   $payload = $client->verifyIdToken($id_token);
   if ($payload) {
     // This ID is unique to each Google Account, making it suitable for use as a primary key
     // during account lookup. Email is not a good choice because it can be changed by the user.
     $userid = $payload['sub'];
     // If the request specified a Google Workspace domain
     //$domain = $payload['hd'];
   } else {
     // Invalid ID token
   }

   verifyIdToken ফাংশন JWT স্বাক্ষর, aud দাবি, exp claim এবং iss দাবি যাচাই করে।

   আপনি যদি আইডি টোকেনটি Google Workspace বা ক্লাউড সংস্থার অ্যাকাউন্টের প্রতিনিধিত্ব করে তা যাচাই করতে চান, তাহলে আপনি hd দাবিটি পরীক্ষা করতে পারেন, যা ব্যবহারকারীর হোস্ট করা ডোমেন নির্দেশ করে। শুধুমাত্র নির্দিষ্ট ডোমেনের সদস্যদের জন্য একটি সম্পদের অ্যাক্সেস সীমাবদ্ধ করার সময় এটি অবশ্যই ব্যবহার করা উচিত। এই দাবির অনুপস্থিতি নির্দেশ করে যে অ্যাকাউন্টটি Google হোস্ট করা ডোমেনের অন্তর্গত নয়।

   পাইথন

   পাইথনে একটি আইডি টোকেন যাচাই করতে, verify_oauth2_token ফাংশনটি ব্যবহার করুন। যেমন:

   from google.oauth2 import id_token
   from google.auth.transport import requests
   
   # (Receive token by HTTPS POST)
   # ...
   
   try:
       # Specify the WEB_CLIENT_ID of the app that accesses the backend:
       idinfo = id_token.verify_oauth2_token(token, requests.Request(), WEB_CLIENT_ID)
   
       # Or, if multiple clients access the backend server:
       # idinfo = id_token.verify_oauth2_token(token, requests.Request())
       # if idinfo['aud'] not in [WEB_CLIENT_ID_1, WEB_CLIENT_ID_2, WEB_CLIENT_ID_3]:
       #     raise ValueError('Could not verify audience.')
   
       # If the request specified a Google Workspace domain
       # if idinfo['hd'] != DOMAIN_NAME:
       #     raise ValueError('Wrong domain name.')
   
       # ID token is valid. Get the user's Google Account ID from the decoded token.
       # This ID is unique to each Google Account, making it suitable for use as a primary key
       # during account lookup. Email is not a good choice because it can be changed by the user.
       userid = idinfo['sub']
   except ValueError:
       # Invalid token
       pass

   verify_oauth2_token ফাংশন JWT স্বাক্ষর, aud দাবি এবং exp দাবি যাচাই করে। যে বস্তুটি verify_oauth2_token ফেরত দেয় তা পরীক্ষা করে আপনাকে অবশ্যই hd দাবি (যদি প্রযোজ্য হয়) যাচাই করতে হবে। যদি একাধিক ক্লায়েন্ট ব্যাকএন্ড সার্ভার অ্যাক্সেস করে, তাহলে নিজেও aud দাবি যাচাই করুন।

3. টোকেনের বৈধতা নিশ্চিত হয়ে গেলে, আপনি আপনার সাইটের অ্যাকাউন্টের স্থিতির সাথে সম্পর্কিত করতে Google ID টোকেনের তথ্য ব্যবহার করতে পারেন:

   • একজন অনিবন্ধিত ব্যবহারকারী: আপনি একটি সাইন-আপ ইউজার ইন্টারফেস (UI) দেখাতে পারেন যা প্রয়োজনে ব্যবহারকারীকে অতিরিক্ত প্রোফাইল তথ্য প্রদান করতে দেয়। এটি ব্যবহারকারীকে নীরবে নতুন অ্যাকাউন্ট এবং লগ-ইন করা ব্যবহারকারীর সেশন তৈরি করতেও সাহায্য করে।

   • আপনার সাইটে ইতিমধ্যেই বিদ্যমান একটি অ্যাকাউন্ট: আপনি এমন একটি ওয়েব পৃষ্ঠা দেখাতে পারেন যা শেষ ব্যবহারকারীকে তাদের পাসওয়ার্ড ইনপুট করতে এবং তাদের Google শংসাপত্রের সাথে লিগ্যাসি অ্যাকাউন্টটি লিঙ্ক করতে দেয়। এটি নিশ্চিত করে যে ব্যবহারকারীর বিদ্যমান অ্যাকাউন্টে অ্যাক্সেস আছে।

   • একজন ফেডারেটেড ব্যবহারকারী ফিরে আসছেন: আপনি নীরবে ব্যবহারকারীকে সাইন ইন করতে পারেন।