بعد أن يعرض محرّك بحث Google الرمز المميّز للمعرّف، يتم إرساله من خلال طلب طريقة HTTP POST
، مع اسم المَعلمة credential
، إلى نقطة نهاية تسجيل الدخول.
فيما يلي مثال بلغة بايثون يعرض الخطوات المعتادة للتحقق من صحة الرمز المميز للمعرف واستهلاكه:
تحقَّق من الرمز المميّز لتزوير الطلبات من مواقع إلكترونية متعددة (CSRF). عند إرسال بيانات الاعتماد إلى نقطة نهاية تسجيل الدخول، نستخدم نمط ملف تعريف الارتباط للإرسال المزدوج لمنع هجمات CSRF. قبل كل عملية إرسال، ننشئ رمزًا مميّزًا. وبعد ذلك، يتم وضع الرمز في كل من ملف تعريف الارتباط ونص المشاركة، كما هو موضح في مثال الرمز التالي:
csrf_token_cookie = self.request.cookies.get('g_csrf_token') if not csrf_token_cookie: webapp2.abort(400, 'No CSRF token in Cookie.') csrf_token_body = self.request.get('g_csrf_token') if not csrf_token_body: webapp2.abort(400, 'No CSRF token in post body.') if csrf_token_cookie != csrf_token_body: webapp2.abort(400, 'Failed to verify double submit cookie.')
تأكَّد من الرمز المميّز للمعرّف.
للتحقّق من صلاحية الرمز المميّز، تأكَّد مما يلي: المعايير:
- وقّعت Google على الرمز المميّز للمعرّف بشكل صحيح. استخدام مفاتيح Google العامة
(متوفّرة في
JWK أو
PEM)
للتحقق من توقيع الرمز المميّز. يتم تدوير هذه المفاتيح بانتظام؛ فحص
عنوان
Cache-Control
في الردّ لتحديد وقت فيجب عليك استردادها مرة أخرى. - تساوي قيمة
aud
في الرمز المميّز للمعرّف إحدى قيم التطبيق. معرِّفات العملاء. وتُعدّ هذه العملية ضرورية لمنع رموز التعريف المميزة التي يتم إصدارها إلى تطبيق يتم استخدامه للوصول إلى بيانات حول المستخدم نفسه على خادم الخلفية في تطبيقك. - تساوي قيمة
iss
في الرمز المميّز للمعرّفaccounts.google.com
أوhttps://accounts.google.com
. - لم ينتهِ وقت انتهاء الصلاحية (
exp
) للرمز المميّز للمعرّف. - إذا كنت بحاجة إلى التحقّق من أنّ الرمز المميّز للمعرّف يمثّل Google Workspace أو Cloud
حساب مؤسسة، يمكنك الاطّلاع على المطالبة
hd
التي تشير إلى أنّه تمت استضافته مجال المستخدم. ويجب استخدام ذلك عند قصر الوصول إلى مورد على أعضاء ومجالات معينة. يشير عدم وجود هذه المطالبة إلى أن الحساب لا ينتمي إلى نطاق تستضيفه Google.
باستخدام الحقول
email
وemail_verified
وhd
، يمكنك تحديد ما إذا كان تستضيف Google عنوان بريد إلكتروني وموثوقًا به. في الحالات التي تكون فيها Google موثوقة، يكون المستخدم معروفًا كمالك الحساب الشرعي، ويمكنك تخطي كلمة المرور أو طرق التحدي.الحالات التي تكون فيها Google موثوقة:
- السمة
email
هي اللاحقة@gmail.com
، وهذا حساب Gmail. email_verified
صحيح وتم ضبطhd
، هذا حساب G Suite.
يمكن للمستخدمين التسجيل للحصول على حسابات Google بدون استخدام Gmail أو G Suite. فعندما لا يحتوي
email
على اللاحقة@gmail.com
وhd
غير موجود، كما أن Google لا موثوقة وكلمة المرور أو طرق التحقق الأخرى للتحقق المستخدم. يمكن أن يكونemail_verified
صحيحًا أيضًا لأن Google تحققت في البداية من صحة المستخدم عند إنشاء حساب Google، ولكن ملكية الجهة الخارجية ربما تغير حساب بريدك الإلكتروني منذ ذلك الحين.وبدلاً من كتابة رمزك الخاص لتنفيذ خطوات التحقّق هذه، أنصحك باستخدام مكتبة برامج Google API لنظامك الأساسي أو غرض عام مكتبة JWT. للتطوير وتصحيح الأخطاء، يمكنك الاتصال بـ
tokeninfo
بنقطة نهاية التحقق من الصحة.استخدام مكتبة برامج Google API
باستخدام إحدى مكتبات عملاء Google API (على سبيل المثال، Java وNode.js وPHP وPython) هي الطريقة الموصى بها للتحقق من صحة رموز Google ID المميزة في بيئة الإنتاج.
Java للتحقّق من صحة الرمز المميّز للمعرّف في لغة Java، استخدِم الكائن GoogleIdTokenVerifier. مثال:
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken; import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload; import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier; ... GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory) // Specify the CLIENT_ID of the app that accesses the backend: .setAudience(Collections.singletonList(CLIENT_ID)) // Or, if multiple clients access the backend: //.setAudience(Arrays.asList(CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3)) .build(); // (Receive idTokenString by HTTPS POST) GoogleIdToken idToken = verifier.verify(idTokenString); if (idToken != null) { Payload payload = idToken.getPayload(); // Print user identifier String userId = payload.getSubject(); System.out.println("User ID: " + userId); // Get profile information from payload String email = payload.getEmail(); boolean emailVerified = Boolean.valueOf(payload.getEmailVerified()); String name = (String) payload.get("name"); String pictureUrl = (String) payload.get("picture"); String locale = (String) payload.get("locale"); String familyName = (String) payload.get("family_name"); String givenName = (String) payload.get("given_name"); // Use or store profile information // ... } else { System.out.println("Invalid ID token."); }
يتم استخدام طريقة
GoogleIdTokenVerifier.verify()
للتحقّق من توقيع JWT ومطالبةaud
ومطالبةiss
وexp
.إذا كنت بحاجة إلى التحقق من أنّ الرمز المميّز لرقم التعريف يمثّل حساب مؤسسة على Google Workspace أو Cloud، يمكنك إثبات صحة المطالبة باستخدام
hd
من خلال التحقّق من اسم النطاق الذي تعرضه طريقةPayload.getHostedDomain()
. إنّ نطاق المطالبةemail
غير كافٍ لضمان إدارة الحساب من خلال نطاق أو مؤسسة.Node.js للتحقّق من رمز مميّز للمعرّف في Node.js، استخدم Google Auth Library لـ Node.js. تثبيت المكتبة:
npm install google-auth-library --save
بعد ذلك، يمكنك استدعاء الدالةverifyIdToken()
. مثال:const {OAuth2Client} = require('google-auth-library'); const client = new OAuth2Client(); async function verify() { const ticket = await client.verifyIdToken({ idToken: token, audience: CLIENT_ID, // Specify the CLIENT_ID of the app that accesses the backend // Or, if multiple clients access the backend: //[CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3] }); const payload = ticket.getPayload(); const userid = payload['sub']; // If the request specified a Google Workspace domain: // const domain = payload['hd']; } verify().catch(console.error);
تتحقّق الدالة
verifyIdToken
من توقيع JWT ومطالبةaud
ومطالبةexp
وiss
.إذا كنت بحاجة إلى التحقق من أنّ الرمز المميّز لرقم التعريف يمثّل حساب مؤسسة على Google Workspace أو Cloud، يمكنك مراجعة مطالبة
hd
التي تشير إلى النطاق المستضاف للمستخدم. ويجب استخدام هذه الطريقة عند تقييد الوصول إلى مورد معيّن على أعضاء نطاقات معيّنة فقط. في حال عدم تقديم هذا الادّعاء، يشير إلى أنّ الحساب لا ينتمي إلى نطاق تستضيفه Google.PHP للتحقّق من صحة رمز مميّز لرقم التعريف في لغة PHP، يمكنك استخدام مكتبة برامج Google API للغة PHP. ثبِّت المكتبة (على سبيل المثال، باستخدام Composer):
composer require google/apiclient
بعد ذلك، استدعِ الدالةverifyIdToken()
. مثال:require_once 'vendor/autoload.php'; // Get $id_token via HTTPS POST. $client = new Google_Client(['client_id' => $CLIENT_ID]); // Specify the CLIENT_ID of the app that accesses the backend $payload = $client->verifyIdToken($id_token); if ($payload) { $userid = $payload['sub']; // If the request specified a Google Workspace domain //$domain = $payload['hd']; } else { // Invalid ID token }
تتحقّق الدالة
verifyIdToken
من توقيع JWT ومطالبةaud
ومطالبةexp
وiss
.إذا كنت بحاجة إلى التحقق من أنّ الرمز المميّز لرقم التعريف يمثّل حساب مؤسسة على Google Workspace أو Cloud، يمكنك مراجعة مطالبة
hd
التي تشير إلى النطاق المستضاف للمستخدم. ويجب استخدام هذه الطريقة عند تقييد الوصول إلى مورد معيّن على أعضاء نطاقات معيّنة فقط. في حال عدم تقديم هذا الادّعاء، يشير إلى أنّ الحساب لا ينتمي إلى نطاق تستضيفه Google.Python للتحقق من الرمز المميز للمعرّف في بايثون، يمكنك استخدام الدالة verify_oauth2_token. مثال:
from google.oauth2 import id_token from google.auth.transport import requests # (Receive token by HTTPS POST) # ... try: # Specify the CLIENT_ID of the app that accesses the backend: idinfo = id_token.verify_oauth2_token(token, requests.Request(), CLIENT_ID) # Or, if multiple clients access the backend server: # idinfo = id_token.verify_oauth2_token(token, requests.Request()) # if idinfo['aud'] not in [CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]: # raise ValueError('Could not verify audience.') # If the request specified a Google Workspace domain # if idinfo['hd'] != DOMAIN_NAME: # raise ValueError('Wrong domain name.') # ID token is valid. Get the user's Google Account ID from the decoded token. userid = idinfo['sub'] except ValueError: # Invalid token pass
تتحقّق الدالة
verify_oauth2_token
من توقيع JWT ومطالبةaud
ومطالبةexp
. يجب أيضًا إثبات صحة المطالبةhd
(إذا كان ذلك منطبقًا) من خلال فحص العنصر الذي يعرضهverify_oauth2_token
. في حال وصول عدة برامج إلى خادم الخلفية، أثبِت صحة مطالبةaud
يدويًا أيضًا.- وقّعت Google على الرمز المميّز للمعرّف بشكل صحيح. استخدام مفاتيح Google العامة
(متوفّرة في
JWK أو
PEM)
للتحقق من توقيع الرمز المميّز. يتم تدوير هذه المفاتيح بانتظام؛ فحص
عنوان
بعد التأكد من صلاحية الرمز، يمكنك استخدام المعلومات الواردة في الرمز المميز لمعرّف Google لربط حالة الحساب لموقعك الإلكتروني:
مستخدم غير مسجَّل: يمكنك عرض واجهة مستخدم للاشتراك تتيح للمستخدم تقديم معلومات إضافية في الملف الشخصي، إذا كان ذلك مطلوبًا. ويسمح أيضًا للمستخدم بإنشاء حساب جديد وجلسة مستخدم مسجَّل الدخول بدون اتصال.
حساب حالي متوفّر حاليًا على موقعك الإلكتروني: يمكنك عرض صفحة ويب تتيح للمستخدم النهائي إدخال كلمة المرور وربط الحساب القديم ببيانات اعتماد Google. يؤكد هذا أن المستخدم لديه حق الوصول إلى الحساب الحالي.
مستخدم موحّد مكرّر الزيارة: يمكنك تسجيل دخول المستخدم بدون تنبيه صوتي.