Google 傳回 ID 權杖後,會透過 HTTP POST 方法要求將參數名稱 credential 提交至您的登入端點。
以下是 Python 語言中的範例,列出驗證及使用 ID 權杖的一般步驟:
驗證跨網站要求偽造 (CSRF) 權杖。當您向登入端點提交憑證時,我們會使用雙重提交 Cookie 模式來防止 CSRF 攻擊。每次提交前,系統都會產生權杖。然後,該權杖會同時放入 Cookie 和貼文內文中,如以下程式碼範例所示:
csrf_token_cookie = self.request.cookies.get('g_csrf_token') if not csrf_token_cookie: webapp2.abort(400, 'No CSRF token in Cookie.') csrf_token_body = self.request.get('g_csrf_token') if not csrf_token_body: webapp2.abort(400, 'No CSRF token in post body.') if csrf_token_cookie != csrf_token_body: webapp2.abort(400, 'Failed to verify double submit cookie.')驗證 ID 權杖。
如要驗證權杖是否有效,請確認符合下列條件:
- Google 正確簽署 ID 權杖。使用 Google 的公開金鑰 (提供 JWK 或 PEM 格式) 驗證權杖的簽名。這些金鑰會定期輪替;請檢查回應中的
Cache-Control標頭,判斷何時應再次擷取這些金鑰。 - ID 權杖中的
aud值等於應用程式的其中一個用戶端 ID。必須進行這項檢查,以免核發至惡意應用程式的 ID 權杖,藉此存取應用程式後端伺服器上的相同使用者相關資料。 - ID 權杖中的
iss值等於accounts.google.com或https://accounts.google.com。 - ID 權杖的到期時間 (
exp) 尚未超過。 - 如果您需要驗證 ID 權杖代表 Google Workspace 或 Cloud 機構帳戶,可以查看
hd憑證附加資訊,這就表示使用者的託管網域。將資源的存取權限制為僅限特定網域的成員存取時,必須使用這個屬性。缺少這項聲明,代表帳戶不屬於 Google 代管網域。
比起自行編寫程式碼來執行這些驗證步驟,我們強烈建議您使用適用於您平台的 Google API 用戶端程式庫,或一般用途的 JWT 程式庫。如要進行開發和偵錯,您可以呼叫我們的
tokeninfo驗證端點。使用 Google API 用戶端程式庫
建議您使用其中一種 Google API 用戶端程式庫 (例如 Java、Node.js、PHP、Python),在實際工作環境中驗證 Google ID 權杖。
Java 如要在 Java 中驗證 ID 權杖,請使用 GoogleIdTokenVerifier 物件。例如:
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken; import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload; import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier; ... GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory) // Specify the CLIENT_ID of the app that accesses the backend: .setAudience(Collections.singletonList(CLIENT_ID)) // Or, if multiple clients access the backend: //.setAudience(Arrays.asList(CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3)) .build(); // (Receive idTokenString by HTTPS POST) GoogleIdToken idToken = verifier.verify(idTokenString); if (idToken != null) { Payload payload = idToken.getPayload(); // Print user identifier String userId = payload.getSubject(); System.out.println("User ID: " + userId); // Get profile information from payload String email = payload.getEmail(); boolean emailVerified = Boolean.valueOf(payload.getEmailVerified()); String name = (String) payload.get("name"); String pictureUrl = (String) payload.get("picture"); String locale = (String) payload.get("locale"); String familyName = (String) payload.get("family_name"); String givenName = (String) payload.get("given_name"); // Use or store profile information // ... } else { System.out.println("Invalid ID token."); }GoogleIdTokenVerifier.verify()方法會驗證 JWT 簽名、aud憑證附加資訊、iss憑證附加資訊,以及exp憑證附加資訊。如果您需要驗證 ID 權杖是 Google Workspace 或 Cloud 機構帳戶,可以檢查
Payload.getHostedDomain()方法傳回的網域名稱,藉此驗證hd憑證附加資訊。email憑證附加資訊的網域不足,無法確保該帳戶是由網域或機構管理。Node.js 如要在 Node.js 中驗證 ID 權杖,請使用 Node.js 適用的 Google 驗證程式庫。安裝程式庫:
npm install google-auth-library --save
,然後呼叫verifyIdToken()函式。例如:const {OAuth2Client} = require('google-auth-library'); const client = new OAuth2Client(); async function verify() { const ticket = await client.verifyIdToken({ idToken: token, audience: CLIENT_ID, // Specify the CLIENT_ID of the app that accesses the backend // Or, if multiple clients access the backend: //[CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3] }); const payload = ticket.getPayload(); const userid = payload['sub']; // If request specified a G Suite domain: // const domain = payload['hd']; } verify().catch(console.error);verifyIdToken函式會驗證 JWT 簽名、aud憑證附加資訊、exp憑證附加資訊和iss憑證附加資訊。如果您需要驗證 ID 權杖代表 Google Workspace 或 Cloud 機構帳戶,可以查看
hd憑證附加資訊,這就表示使用者的託管網域。將資源的存取權限制為僅限特定網域的成員存取時,必須使用這個屬性。缺少這項聲明,代表帳戶不屬於 Google 代管網域。PHP 如要以 PHP 驗證 ID 權杖,請使用 PHP 適用的 Google API 用戶端程式庫。安裝程式庫 (例如使用 Composer):
composer require google/apiclient
,然後呼叫verifyIdToken()函式。例如:require_once 'vendor/autoload.php'; // Get $id_token via HTTPS POST. $client = new Google_Client(['client_id' => $CLIENT_ID]); // Specify the CLIENT_ID of the app that accesses the backend $payload = $client->verifyIdToken($id_token); if ($payload) { $userid = $payload['sub']; // If request specified a G Suite domain: //$domain = $payload['hd']; } else { // Invalid ID token }verifyIdToken函式會驗證 JWT 簽名、aud憑證附加資訊、exp憑證附加資訊和iss憑證附加資訊。如果您需要驗證 ID 權杖代表 Google Workspace 或 Cloud 機構帳戶,可以查看
hd憑證附加資訊,這就表示使用者的託管網域。將資源的存取權限制為僅限特定網域的成員存取時,必須使用這個屬性。缺少這項聲明,代表帳戶不屬於 Google 代管網域。Python 如要在 Python 中驗證 ID 權杖,請使用 verify_oauth2_token 函式。例如:
from google.oauth2 import id_token from google.auth.transport import requests # (Receive token by HTTPS POST) # ... try: # Specify the CLIENT_ID of the app that accesses the backend: idinfo = id_token.verify_oauth2_token(token, requests.Request(), CLIENT_ID) # Or, if multiple clients access the backend server: # idinfo = id_token.verify_oauth2_token(token, requests.Request()) # if idinfo['aud'] not in [CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]: # raise ValueError('Could not verify audience.') # If auth request is from a G Suite domain: # if idinfo['hd'] != GSUITE_DOMAIN_NAME: # raise ValueError('Wrong hosted domain.') # ID token is valid. Get the user's Google Account ID from the decoded token. userid = idinfo['sub'] except ValueError: # Invalid token passverify_oauth2_token函式會驗證 JWT 簽名、aud憑證附加資訊和exp憑證附加資訊。您也必須檢查verify_oauth2_token傳回的物件,驗證hd憑證附加資訊 (如適用)。如有多個用戶端存取後端伺服器,也請手動驗證aud憑證附加資訊。- Google 正確簽署 ID 權杖。使用 Google 的公開金鑰 (提供 JWK 或 PEM 格式) 驗證權杖的簽名。這些金鑰會定期輪替;請檢查回應中的
確認權杖有效之後,您就可以使用 Google ID 權杖中的資訊,將網站狀態建立關聯:
未註冊的使用者:您可以顯示註冊使用者介面 (UI),讓使用者視需要提供其他設定檔資訊。也可讓使用者以無訊息方式建立新帳戶和登入的使用者工作階段。
網站中已有的帳戶:顯示網頁可讓使用者輸入密碼,並將舊帳戶連結至 Google 憑證。藉此確認使用者可以存取現有帳戶。
回訪的聯盟使用者:您可以透過無訊息的方式讓使用者登入。