التحقّق من الرمز المميّز لمعرّف Google على جهة الخادم

بعد أن تُرجع Google رمز تعريف، يتم إرساله باستخدام طلب POST HTTP باستخدام اسم المَعلمة credential، إلى نقطة نهاية تسجيل الدخول.

في ما يلي مثال بلغة Python يعرض الخطوات المعتادة للتحقّق من صحة رمز التعريف واستخدامه:

  1. تحقّق من رمز CSRF. عند إرسال بيانات الاعتماد إلى نقطة نهاية تسجيل الدخول، نستخدم نمط ملفّ تعريف الارتباط المُرسَل مرّتين لمنع هجمات CSRF. قبل كل عملية إرسال، ننشئ رمزًا مميّزًا. بعد ذلك، يتم وضع الرمز المميّز في كلّ من ملف تعريف الارتباط ونص المشاركة، كما هو موضّح في مثال التعليمات البرمجية التالي:

    csrf_token_cookie = self.request.cookies.get('g_csrf_token')
    if not csrf_token_cookie:
        webapp2.abort(400, 'No CSRF token in Cookie.')
    csrf_token_body = self.request.get('g_csrf_token')
    if not csrf_token_body:
        webapp2.abort(400, 'No CSRF token in post body.')
    if csrf_token_cookie != csrf_token_body:
        webapp2.abort(400, 'Failed to verify double submit cookie.')
    
  2. تحقَّق من صحة رمز التعريف.

    للتحقّق من صلاحية الرمز المميّز، تأكَّد مما يلي: المعايير:

    • وقّعت Google على الرمز المميّز للمعرّف بشكل صحيح. استخدام مفاتيح Google العامة (متوفّرة في JWK أو PEM) للتحقق من توقيع الرمز المميّز. يتم تدوير هذه المفاتيح بانتظام؛ فحص عنوان Cache-Control في الردّ لتحديد وقت فيجب عليك استردادها مرة أخرى.
    • تساوي قيمة aud في الرمز المميّز للمعرّف إحدى قيم التطبيق. معرِّفات العملاء. وتُعدّ هذه العملية ضرورية لمنع رموز التعريف المميزة التي يتم إصدارها إلى تطبيق يتم استخدامه للوصول إلى بيانات حول المستخدم نفسه على خادم الخلفية في تطبيقك.
    • تساوي قيمة iss في الرمز المميّز للمعرّف accounts.google.com أو https://accounts.google.com.
    • لم ينتهِ وقت انتهاء الصلاحية (exp) للرمز المميّز للمعرّف.
    • إذا كنت بحاجة إلى التحقّق من أنّ الرمز المميّز للمعرّف يمثّل Google Workspace أو Cloud حساب مؤسسة، يمكنك الاطّلاع على المطالبة hd التي تشير إلى أنّه تمت استضافته مجال المستخدم. ويجب استخدام ذلك عند قصر الوصول إلى مورد على أعضاء ومجالات معينة. يشير عدم وجود هذه المطالبة إلى أن الحساب لا ينتمي إلى نطاق تستضيفه Google.

    باستخدام الحقول email وemail_verified وhd، يمكنك تحديد ما إذا كان تستضيف Google عنوان بريد إلكتروني وموثوقًا به. في الحالات التي تكون فيها Google موثوقة، يكون المستخدم معروفًا كمالك الحساب الشرعي، ويمكنك تخطي كلمة المرور أو طرق التحدي.

    الحالات التي تكون فيها Google موثوقة:

    • السمة email هي اللاحقة @gmail.com، وهذا حساب Gmail.
    • email_verified صحيح وتم ضبط hd، هذا حساب G Suite.

    يمكن للمستخدمين التسجيل للحصول على حسابات Google بدون استخدام Gmail أو G Suite. فعندما لا يحتوي email على اللاحقة @gmail.com وhd غير موجود، كما أن Google لا موثوقة وكلمة المرور أو طرق التحقق الأخرى للتحقق المستخدم. يمكن أن يكون email_verified صحيحًا أيضًا لأن Google تحققت في البداية من صحة المستخدم عند إنشاء حساب Google، ولكن ملكية الجهة الخارجية ربما تغير حساب بريدك الإلكتروني منذ ذلك الحين.

    وبدلاً من كتابة رمزك الخاص لتنفيذ خطوات التحقّق هذه، أنصحك باستخدام مكتبة برامج Google API لنظامك الأساسي أو غرض عام مكتبة JWT. للتطوير وتصحيح الأخطاء، يمكنك الاتصال بـ tokeninfo بنقطة نهاية التحقق من الصحة.

    استخدام مكتبة برامج Google API

    استخدام إحدى مكتبات برامج Google API (مثل Java Node.js، بيسو فلبيني، Python) هي الطريقة الموصى بها لإثبات صحة الرموز المميّزة لمعرّف Google في بيئة إنتاج.

    Java

    للتحقق من صحة رمز مميز للمعرف في Java، استخدم GoogleIdTokenVerifier. على سبيل المثال:

    import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
    import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload;
    import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;
    
    ...
    
    GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
        // Specify the CLIENT_ID of the app that accesses the backend:
        .setAudience(Collections.singletonList(CLIENT_ID))
        // Or, if multiple clients access the backend:
        //.setAudience(Arrays.asList(CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3))
        .build();
    
    // (Receive idTokenString by HTTPS POST)
    
    GoogleIdToken idToken = verifier.verify(idTokenString);
    if (idToken != null) {
      Payload payload = idToken.getPayload();
    
      // Print user identifier
      String userId = payload.getSubject();
      System.out.println("User ID: " + userId);
    
      // Get profile information from payload
      String email = payload.getEmail();
      boolean emailVerified = Boolean.valueOf(payload.getEmailVerified());
      String name = (String) payload.get("name");
      String pictureUrl = (String) payload.get("picture");
      String locale = (String) payload.get("locale");
      String familyName = (String) payload.get("family_name");
      String givenName = (String) payload.get("given_name");
    
      // Use or store profile information
      // ...
    
    } else {
      System.out.println("Invalid ID token.");
    }

    تتحقّق طريقة GoogleIdTokenVerifier.verify() من JWT. التوقيع ومطالبة aud ومطالبة iss مطالبة واحدة (exp)

    إذا كنت بحاجة إلى التحقّق من أنّ الرمز المميّز للمعرّف يمثّل Google Workspace أو Cloud حساب مؤسسة، يمكنك إثبات ملكية المطالبة hd من خلال التحقّق من اسم النطاق. التي يتم إرجاعها باستخدام الطريقة Payload.getHostedDomain(). نطاق هناك مطالبة واحدة (email) غير كافية لضمان إدارة الحساب من خلال نطاق. أو المؤسسة.

    Node.js

    للتحقّق من رمز مميّز للمعرّف في Node.js، استخدِم مكتبة مصادقة Google لنظام Node.js. تثبيت المكتبة:

    npm install google-auth-library --save
    بعد ذلك، استدعِ الدالة verifyIdToken(). على سبيل المثال:

    const {OAuth2Client} = require('google-auth-library');
    const client = new OAuth2Client();
    async function verify() {
      const ticket = await client.verifyIdToken({
          idToken: token,
          audience: CLIENT_ID,  // Specify the CLIENT_ID of the app that accesses the backend
          // Or, if multiple clients access the backend:
          //[CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]
      });
      const payload = ticket.getPayload();
      const userid = payload['sub'];
      // If the request specified a Google Workspace domain:
      // const domain = payload['hd'];
    }
    verify().catch(console.error);
    

    تتحقق الدالة verifyIdToken من صحة توقيع JWT ومطالبة aud ومطالبة exp والمطالبة iss.

    إذا كنت بحاجة إلى التحقّق من أنّ الرمز المميّز للمعرّف يمثّل Google Workspace أو Cloud حساب مؤسسة، يمكنك الاطّلاع على المطالبة hd التي تشير إلى أنّه تمت استضافته مجال المستخدم. يجب استخدام هذا الإعداد عند حصر الوصول إلى مورد على الأعضاء فقط من نطاقات معينة. يشير عدم وجود هذه المطالبة إلى أن الحساب لا ينتمي إلى نطاق مستضاف على Google.

    بيسو فلبيني

    للتحقّق من صحة رمز مميّز لرقم التعريف في لغة PHP، استخدِم مكتبة برامج Google API للغة PHP. تثبيت المكتبة (على سبيل المثال، باستخدام Composer):

    composer require google/apiclient
    بعد ذلك، استدعِ الدالة verifyIdToken(). على سبيل المثال:

    require_once 'vendor/autoload.php';
    
    // Get $id_token via HTTPS POST.
    
    $client = new Google_Client(['client_id' => $CLIENT_ID]);  // Specify the CLIENT_ID of the app that accesses the backend
    $payload = $client->verifyIdToken($id_token);
    if ($payload) {
      $userid = $payload['sub'];
      // If the request specified a Google Workspace domain
      //$domain = $payload['hd'];
    } else {
      // Invalid ID token
    }
    

    تتحقق الدالة verifyIdToken من صحة توقيع JWT ومطالبة aud ومطالبة exp والمطالبة iss.

    إذا كنت بحاجة إلى التحقّق من أنّ الرمز المميّز للمعرّف يمثّل Google Workspace أو Cloud حساب مؤسسة، يمكنك الاطّلاع على المطالبة hd التي تشير إلى أنّه تمت استضافته مجال المستخدم. يجب استخدام هذا الإعداد عند حصر الوصول إلى مورد على الأعضاء فقط من نطاقات معينة. يشير عدم وجود هذه المطالبة إلى أن الحساب لا ينتمي إلى نطاق مستضاف على Google.

    Python

    للتحقق من صحة رمز معرّف في بايثون، استخدم verify_oauth2_token الأخرى. على سبيل المثال:

    from google.oauth2 import id_token
    from google.auth.transport import requests
    
    # (Receive token by HTTPS POST)
    # ...
    
    try:
        # Specify the CLIENT_ID of the app that accesses the backend:
        idinfo = id_token.verify_oauth2_token(token, requests.Request(), CLIENT_ID)
    
        # Or, if multiple clients access the backend server:
        # idinfo = id_token.verify_oauth2_token(token, requests.Request())
        # if idinfo['aud'] not in [CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]:
        #     raise ValueError('Could not verify audience.')
    
        # If the request specified a Google Workspace domain
        # if idinfo['hd'] != DOMAIN_NAME:
        #     raise ValueError('Wrong domain name.')
    
        # ID token is valid. Get the user's Google Account ID from the decoded token.
        userid = idinfo['sub']
    except ValueError:
        # Invalid token
        pass
    

    تتحقق الدالة verify_oauth2_token من JWT التوقيع ومطالبة aud ومطالبة exp. يجب أيضًا إثبات ملكية hd. (إذا كان ذلك منطبقًا) من خلال فحص الكائن الذي يمكن إرجاع المشتريات مقابل verify_oauth2_token. إذا وصل العديد من العملاء إلى خادم الخلفية، أو إثبات ملكية المطالبة aud يدويًا أيضًا.

  3. بعد تأكيد صلاحية الرمز المميّز، يمكنك استخدام المعلومات الواردة في رمز تعريف Google لربط حالة حساب موقعك الإلكتروني:

    • مستخدم غير مسجَّل: يمكنك عرض واجهة مستخدم تسجيل تتيح للمستخدم تقديم معلومات إضافية عن الملف الشخصي، إذا كان ذلك مطلوبًا. ويسمح أيضًا للمستخدم بإنشاء الحساب الجديد بدون إشعار و جلسة مستخدم مسجّل الدخول.

    • حساب حالي متوفّر في موقعك الإلكتروني: يمكنك عرض صفحة ويب تتيح للمستخدم النهائي إدخال كلمة المرور الخاصة به وربط الحساب القديم ببيانات اعتماد Google. يؤكد ذلك أنّه يمكن للمستخدم الوصول إلى الحساب الحالي.

    • مستخدم فدرال يعود للدخول: يمكنك تسجيل دخول المستخدم بدون إشعاره.