Sunucu tarafında Google Kimlik jetonunu doğrulama

Google bir kimlik jetonu döndürdükten sonra bu jeton, credential parametre adlı bir HTTP POST yöntem isteği tarafından giriş uç noktanıza gönderilir.

Aşağıda, kimlik jetonunu doğrulama ve tüketmeyle ilgili normal adımları gösteren Python dilindeki bir örnek bulunmaktadır:

  1. Siteler Arası İstek Sahtekarlığı (CSRF) jetonunu doğrulayın. Kimlik bilgilerini giriş uç noktanıza gönderdiğinizde, CSRF saldırılarını önlemek için çift çerez gönderme kalıbını kullanırız. Her gönderimden önce bir jeton oluştururuz. Ardından, jeton aşağıdaki kod örneğinde gösterildiği gibi hem çereze hem de posta gövdesine yerleştirilir:

    csrf_token_cookie = self.request.cookies.get('g_csrf_token')
if not csrf_token_cookie:
    webapp2.abort(400, 'No CSRF token in Cookie.')
csrf_token_body = self.request.get('g_csrf_token')
if not csrf_token_body:
    webapp2.abort(400, 'No CSRF token in post body.')
if csrf_token_cookie != csrf_token_body:
    webapp2.abort(400, 'Failed to verify double submit cookie.')

  2. Kimlik jetonunu doğrulayın.

    Jetonun geçerli olduğunu doğrulamak için aşağıdaki koşulların sağlandığından emin olun: karşılanıyorsa:

    • Kimlik jetonu Google tarafından düzgün bir şekilde imzalandı. Google'ın genel anahtarlarını kullanın (kullanılabilir JWK veya PEM biçimini kullanın) kullanın. Bu anahtarlar düzenli olarak döndürülür; incelemek ne zaman olduğunu belirlemek için yanıttaki Cache-Control üstbilgisi bunları tekrar almanız gerekir.
    • Kimlik jetonundaki aud değeri, uygulamanızın izin vermiştir. Bu kontrol, kötü amaçlı bir sunucuya kimlik jetonlarının verilmesini önlemek için gereklidir. uygulamanızın arka uç sunucusunda aynı kullanıcıyla ilgili verilere erişmek için kullanılan bir uygulamadır.
    • Kimlik jetonundaki iss değeri şuna eşit: accounts.google.com veya https://accounts.google.com.
    • Kimlik jetonunun geçerlilik süresi (exp) geçmedi.
    • Kimlik jetonunun bir Google Workspace veya Cloud'u temsil ettiğini doğrulamanız gerekiyorsa hd hak talebini kontrol edebilirsiniz. Bu hak talebi, barındırılan etkinliklerin kullanıcının alanıyla ilişkilidir. Bu, bir kaynağa erişimi yalnızca belirli alan adlarında kullanılabilir. Bu hak talebinin olmaması, hesabın Google tarafından barındırılan alan.

    email, email_verified ve hd alanlarını kullanarak aşağıdakilerin geçerli olup olmadığını belirleyebilirsiniz: Google, e-posta adreslerini barındırır ve bu adres konusunda yetkilidir. Google'ın yetkili olduğu durumlarda kullanıcının yasal hesap sahibi olduğu biliniyorsa, şifre veya diğer iletişim bilgilerini atlayabilirsiniz. isteyebilirsiniz.

    Google'ın yetkili olduğu durumlar:

    • email adresinin @gmail.com son eki var. Bu bir Gmail hesabı.
    • email_verified doğru ve hd ayarlandı. Bu bir G Suite hesabı.

    Kullanıcılar, Gmail veya G Suite kullanmadan Google Hesaplarına kaydolabilir. Zaman email, @gmail.com son eki içermiyor ve hd mevcut değilse Google kimlik doğrulama, şifre veya diğer sorgulama yöntemlerinin önerildiğini doğrulama gösterir. email_verified, Google'ın ilk olarak kullanıcı hesabı sırasında üçüncü tarafın e-posta hesabı değişmiş olabilir.

    Bu doğrulama adımlarını uygulamak için kendi kodunuzu yazmak yerine, Platformunuz için bir Google API istemci kitaplığı veya genel amaçlı bir JWT kitaplığı. Geliştirme ve hata ayıklama için tokeninfo hattımızı arayabilirsiniz doğrulama uç noktası.

    Google API İstemci Kitaplığı Kullanma

    Google API İstemci Kitaplıklarından birini kullanarak (ör. Java, Node.js PHP Python) kullanın Google kimliği jetonlarını üretim ortamında doğrulamak için önerilen yöntemdir.

    Java

    Java'da bir kimlik jetonunu doğrulamak için GoogleIdTokenVerifier nesnesini tanımlayın. Örneğin:

    import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;

...

GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
    // Specify the CLIENT_ID of the app that accesses the backend:
    .setAudience(Collections.singletonList(CLIENT_ID))
    // Or, if multiple clients access the backend:
    //.setAudience(Arrays.asList(CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3))
    .build();

// (Receive idTokenString by HTTPS POST)

GoogleIdToken idToken = verifier.verify(idTokenString);
if (idToken != null) {
  Payload payload = idToken.getPayload();

  // Print user identifier
  String userId = payload.getSubject();
  System.out.println("User ID: " + userId);

  // Get profile information from payload
  String email = payload.getEmail();
  boolean emailVerified = Boolean.valueOf(payload.getEmailVerified());
  String name = (String) payload.get("name");
  String pictureUrl = (String) payload.get("picture");
  String locale = (String) payload.get("locale");
  String familyName = (String) payload.get("family_name");
  String givenName = (String) payload.get("given_name");

  // Use or store profile information
  // ...

} else {
  System.out.println("Invalid ID token.");
}

    GoogleIdTokenVerifier.verify() yöntemi JWT'yi doğrular imza, aud hak talebi, iss hak talebi ve exp hak talebi.

    Kimlik jetonunun bir Google Workspace veya Cloud'u temsil ettiğini doğrulamanız gerekiyorsa alan adını kontrol ederek hd hak talebini doğrulayabilirsiniz. Payload.getHostedDomain() yöntemi tarafından döndürülür. email hak talebi, hesabın bir alan tarafından yönetilmesini sağlamak için yeterli değil ya da çalıştığınız kuruma bağlıdır.

    ziyaret edin.
    Node.js

    Node.js'de bir kimlik jetonunu doğrulamak üzere Node.js için Google Kimlik Doğrulama Kitaplığı'nı kullanın. Kitaplığı yükleyin: 

    npm install google-auth-library --save
    . Ardından verifyIdToken() işlevini çağırın. Örneğin:

    const {OAuth2Client} = require('google-auth-library');
const client = new OAuth2Client();
async function verify() {
  const ticket = await client.verifyIdToken({
      idToken: token,
      audience: CLIENT_ID,  // Specify the CLIENT_ID of the app that accesses the backend
      // Or, if multiple clients access the backend:
      //[CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]
  });
  const payload = ticket.getPayload();
  const userid = payload['sub'];
  // If the request specified a Google Workspace domain:
  // const domain = payload['hd'];
}
verify().catch(console.error);

    verifyIdToken işlevi doğrular JWT imzası, aud talebi, exp talebi, ve iss hak talebi.

    Kimlik jetonunun bir Google Workspace veya Cloud'u temsil ettiğini doğrulamanız gerekiyorsa hd hak talebini kontrol edebilirsiniz. Bu hak talebi, barındırılan etkinliklerin kullanıcının alanıyla ilişkilidir. Bu, bir kaynağa erişimi yalnızca üyelerle kısıtlarken kullanılmalıdır belirli alan adlarında kullanılabilir. Bu hak talebinin olmaması, hesabın Google tarafından barındırılan bir alan adı.

    ziyaret edin.
    PHP

    PHP'deki bir kimlik jetonunu doğrulamak için PHP için Google API İstemci Kitaplığı'nı kullanın. Kitaplığı yükleyin (örneğin, Composer kullanarak): 

    composer require google/apiclient
    . Ardından verifyIdToken() işlevini çağırın. Örneğin:

    require_once 'vendor/autoload.php';

// Get $id_token via HTTPS POST.

$client = new Google_Client(['client_id' => $CLIENT_ID]);  // Specify the CLIENT_ID of the app that accesses the backend
$payload = $client->verifyIdToken($id_token);
if ($payload) {
  $userid = $payload['sub'];
  // If the request specified a Google Workspace domain
  //$domain = $payload['hd'];
} else {
  // Invalid ID token
}

    verifyIdToken işlevi doğrular JWT imzası, aud talebi, exp talebi, ve iss hak talebi.

    Kimlik jetonunun bir Google Workspace veya Cloud'u temsil ettiğini doğrulamanız gerekiyorsa hd hak talebini kontrol edebilirsiniz. Bu hak talebi, barındırılan etkinliklerin kullanıcının alanıyla ilişkilidir. Bu, bir kaynağa erişimi yalnızca üyelerle kısıtlarken kullanılmalıdır belirli alan adlarında kullanılabilir. Bu hak talebinin olmaması, hesabın Google tarafından barındırılan bir alan adı.

    ziyaret edin.
    Python

    Python'da bir kimlik jetonunu doğrulamak için verify_oauth2_token işlevini kullanın. Örneğin:

    from google.oauth2 import id_token
from google.auth.transport import requests

# (Receive token by HTTPS POST)
# ...

try:
    # Specify the CLIENT_ID of the app that accesses the backend:
    idinfo = id_token.verify_oauth2_token(token, requests.Request(), CLIENT_ID)

    # Or, if multiple clients access the backend server:
    # idinfo = id_token.verify_oauth2_token(token, requests.Request())
    # if idinfo['aud'] not in [CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]:
    #     raise ValueError('Could not verify audience.')

    # If the request specified a Google Workspace domain
    # if idinfo['hd'] != DOMAIN_NAME:
    #     raise ValueError('Wrong domain name.')

    # ID token is valid. Get the user's Google Account ID from the decoded token.
    userid = idinfo['sub']
except ValueError:
    # Invalid token
    pass

    verify_oauth2_token işlevi, JWT'yi doğrular. imza, aud hak talebi ve exp hak talebi. hd alan adını da doğrulamanız gerekiyor. hak talebinde bulunmak (geçerliyse) verify_oauth2_token iade. Birden fazla müşteri arka uç sunucusunda aud hak talebini manuel olarak da doğrulayın.

  3. Jetonun geçerliliği onaylandıktan sonra, sitenizin hesap durumunu ilişkilendirmek için Google kimlik jetonundaki bilgileri kullanabilirsiniz:

    • Kayıtlı olmayan kullanıcı: Gerekirse kullanıcının ek profil bilgileri sağlamasına olanak tanıyan bir kaydolan kullanıcı arayüzü (UI) gösterebilirsiniz. Ayrıca, kullanıcının sessizce yeni hesabı ve giriş yapmış bir kullanıcı oturumunu oluşturmasına olanak tanır.

    • Sitenizde zaten mevcut olan bir hesap: Son kullanıcının şifresini girmesine ve eski hesabı Google kimlik bilgilerine bağlamasına olanak tanıyan bir web sayfası gösterebilirsiniz. Bu işlem, kullanıcının mevcut hesaba erişimi olduğunu onaylar.

    • Geri dönen birleşik kullanıcı: Kullanıcının sessizce oturum açmasını sağlayabilirsiniz.