Google-ID-Token auf Serverseite bestätigen

Wenn Sie Google Identity Services oder den OAuth 2.0-Vorgang mit Autorisierungscode verwenden, gibt Google das ID-Token über die POST-Methode an den Weiterleitungs-Endpunkt zurück. Alternativ wird beim impliziten OIDC-Ablauf eine GET-Anfrage verwendet. Daher ist Ihre Anwendung dafür verantwortlich, diese empfangenen Anmeldedaten sicher an Ihren Server zu übertragen.

GET

Dies ist der implizite Ablauf. Das ID-Token wird im URL-Fragment zurückgegeben, das vom clientseitigen JavaScript geparst werden muss. Ihre Anwendung ist für die Implementierung eigener Validierungsmechanismen verantwortlich, um die Authentizität der Anfrage sicherzustellen und Angriffe wie CSRF zu verhindern. 

    HTTP/1.1 302 Found
    Location: https://<REDIRECT_URI>#access_token=<ACCESS_TOKEN>&token_type=bearer&expires_in=<TIME_IN_SECONDS>&scope=<SCOPE>&state=<STATE_STRING>
POST

Das ID-Token wird als Feld credential zurückgesendet. Wenn die GIS-Bibliothek das ID-Token an den Server sendet, fügt sie automatisch g_csrf_token dem Header-Cookie und dem Anfragetext hinzu. Hier sehen Sie ein Beispiel für eine POST-Anfrage:

POST /auth/token-verification HTTP/1.1
Host: example.com
Content-Type: application/json;charset=UTF-8
Cookie: g_csrf_token=<CSRF_TOKEN>
Origin: https://example.com
Content-Length: <LENGTH_OF_JSON_BODY>
    {
      "credential": "<ID_TOKEN>",
      "g_csrf_token": "<CSRF_TOKEN>",
      "client_id": "<CLIENT_ID>"
    }

  1. Validieren des g_csrf_token, um websiteübergreifende Anfragefälschungen (Cross-Site Request Forgery, CSRF) zu verhindern:

    • Extrahieren Sie den CSRF-Tokenwert aus dem Cookie g_csrf_token.
    • Extrahieren Sie den CSRF-Tokenwert aus dem Anfragetext. Die GIS-Bibliothek fügt dieses Token als Parameter mit dem Namen g_csrf_token in den POST-Anfragetext ein.
    • Vergleichen Sie die beiden Tokenwerte.
      • Wenn beide Werte vorhanden sind und vollständig übereinstimmen, gilt die Anfrage als legitim und stammt von Ihrer Domain.
      • Wenn die Werte nicht vorhanden sind oder nicht übereinstimmen, muss die Anfrage vom Server abgelehnt werden. Mit dieser Prüfung wird sichergestellt, dass die Anfrage von JavaScript initiiert wurde, das auf Ihrer eigenen Domain ausgeführt wird, da nur Ihre Domain auf das g_csrf_token-Cookie zugreifen kann.

  2. ID-Token prüfen

    So prüfen Sie, ob das Token gültig ist:

    • Das ID-Token ist von Google ordnungsgemäß signiert. Verwenden Sie die öffentlichen Schlüssel von Google (im JWK- oder PEM-Format), um die Signatur des Tokens zu prüfen. Diese Schlüssel werden regelmäßig rotiert. Sehen Sie sich den Cache-Control-Header in der Antwort an, um zu ermitteln, wann Sie sie wieder abrufen sollten.
    • Der Wert von aud im ID-Token entspricht einer der Client-IDs Ihrer App. Diese Prüfung ist erforderlich, um zu verhindern, dass ID-Tokens, die für eine schädliche App ausgestellt wurden, für den Zugriff auf Daten desselben Nutzers auf dem Backend-Server Ihrer App verwendet werden.
    • Der Wert von iss im ID-Token entspricht accounts.google.com oder https://accounts.google.com.
    • Die Ablaufzeit (exp) des ID-Tokens ist noch nicht erreicht.
    • Wenn Sie bestätigen müssen, dass das ID-Token ein Google Workspace- oder Cloud Identity-Organisationskonto darstellt, können Sie den Anspruch hd prüfen, der die gehostete Domain des Nutzers angibt. Dies muss verwendet werden, wenn der Zugriff auf eine Ressource auf Mitglieder bestimmter Domains beschränkt wird. Wenn diese Behauptung fehlt, gehört das Konto nicht zu einer von Google gehosteten Domain.

    Mithilfe der Felder email, email_verified und hd können Sie ermitteln, ob Google eine E-Mail-Adresse hostet und autoritativ für sie ist. In den Fällen, in denen Google maßgeblich ist, ist der Nutzer als rechtmäßiger Kontoinhaber bekannt und Sie können das Passwort oder andere Bestätigungsmethoden überspringen.

    Fälle, in denen Google maßgebend ist:

    • Wenn die E‑Mail-Adresse von email mit @gmail.com endet, handelt es sich um ein Gmail-Konto.
    • Wenn email_verified wahr ist und hd festgelegt ist, handelt es sich um ein Google Workspace-Konto.

    Nutzer können sich für Google-Konten registrieren, ohne Gmail oder Google Workspace zu verwenden. Wenn email kein Suffix @gmail.com enthält und hd fehlt, ist Google nicht autoritativ und es wird empfohlen, das Passwort oder andere Challenge-Methoden zu verwenden, um den Nutzer zu bestätigen. email_verified kann auch zutreffen, da Google den Nutzer bei der Erstellung des Google-Kontos ursprünglich bestätigt hat. Die Inhaberschaft des E-Mail-Kontos des Drittanbieters kann sich jedoch inzwischen geändert haben.

    Anstatt eigenen Code für diese Überprüfungsschritte zu schreiben, empfehlen wir dringend, eine Google API-Clientbibliothek für Ihre Plattform oder eine universelle JWT-Bibliothek zu verwenden. Für die Entwicklung und das Debugging können Sie unseren tokeninfo-Validierungsendpunkt aufrufen.

    Google API-Clientbibliothek verwenden

    Mit einer der Google API-Clientbibliotheken (z.B. Java Node.js PHP Python) wird empfohlen, um Google-ID-Tokens in einer Produktionsumgebung zu validieren.

    <ph type="x-smartling-placeholder">
    </ph> <ph type="x-smartling-placeholder">
    </ph>
    Java

    Verwenden Sie zum Validieren eines ID-Tokens in Java die Methode GoogleIdTokenVerifier-Objekt. Beispiel:

    import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;

...

GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
    // Specify the WEB_CLIENT_ID of the app that accesses the backend:
    .setAudience(Collections.singletonList(WEB_CLIENT_ID))
    // Or, if multiple clients access the backend:
    //.setAudience(Arrays.asList(WEB_CLIENT_ID_1, WEB_CLIENT_ID_2, WEB_CLIENT_ID_3))
    .build();

// (Receive idTokenString by HTTPS POST)

GoogleIdToken idToken = verifier.verify(idTokenString);
if (idToken != null) {
  Payload payload = idToken.getPayload();

  // Print user identifier. This ID is unique to each Google Account, making it suitable for
  // use as a primary key during account lookup. Email is not a good choice because it can be
  // changed by the user.
  String userId = payload.getSubject();
  System.out.println("User ID: " + userId);

  // Get profile information from payload
  String email = payload.getEmail();
  boolean emailVerified = Boolean.valueOf(payload.getEmailVerified());
  String name = (String) payload.get("name");
  String pictureUrl = (String) payload.get("picture");
  String locale = (String) payload.get("locale");
  String familyName = (String) payload.get("family_name");
  String givenName = (String) payload.get("given_name");

  // Use or store profile information
  // ...

} else {
  System.out.println("Invalid ID token.");
}

    Die Methode GoogleIdTokenVerifier.verify() prüft das JWT Signatur, aud- und iss-Anforderung und exp-Anspruch.

    Wenn Sie prüfen müssen, ob das ID-Token für Google Workspace oder Cloud steht Organisationskonto haben, können Sie die hd-Beanspruchung bestätigen, indem Sie den Domainnamen überprüfen Payload.getHostedDomain() zurückgegeben. Die Domain der Der Anspruch von email reicht nicht aus, um sicherzustellen, dass das Konto von einer Domain verwaltet wird oder einer Organisation.

    <ph type="x-smartling-placeholder">
    </ph>
    Node.js

    Verwenden Sie die Google-Authentifizierungsbibliothek für Node.js, um ein ID-Token in Node.js zu validieren. Installieren Sie die Bibliothek: 

    npm install google-auth-library --save
     Rufen Sie dann die Funktion verifyIdToken() auf. Beispiel:

    const {OAuth2Client} = require('google-auth-library');
const client = new OAuth2Client();
async function verify() {
  const ticket = await client.verifyIdToken({
      idToken: token,
      audience: WEB_CLIENT_ID,  // Specify the WEB_CLIENT_ID of the app that accesses the backend
      // Or, if multiple clients access the backend:
      //[WEB_CLIENT_ID_1, WEB_CLIENT_ID_2, WEB_CLIENT_ID_3]
  });
  const payload = ticket.getPayload();
  // This ID is unique to each Google Account, making it suitable for use as a primary key
  // during account lookup. Email is not a good choice because it can be changed by the user.
  const userid = payload['sub'];
  // If the request specified a Google Workspace domain:
  // const domain = payload['hd'];
}
verify().catch(console.error);

    Mit der Funktion verifyIdToken wird überprüft, die JWT-Signatur, die aud-Anforderung, die exp-Anforderung und die iss-Behauptung.

    Wenn Sie prüfen müssen, ob das ID-Token für Google Workspace oder Cloud steht Unternehmenskonto haben, können Sie die hd-Anforderung prüfen, die angibt, Domain des Nutzers. Muss verwendet werden, wenn der Zugriff auf eine Ressource auf Mitglieder beschränkt wird von bestimmten Domains. Das Fehlen dieses Anspruchs bedeutet, dass das Konto nicht zu eine von Google gehostete Domain.

    <ph type="x-smartling-placeholder">
    </ph>
    PHP

    Um ein ID-Token in PHP zu validieren, verwenden Sie die Google API-Clientbibliothek für PHP. Installieren Sie die Bibliothek (z. B. mit Composer): 

    composer require google/apiclient
     Rufen Sie dann die Funktion verifyIdToken() auf. Beispiel:

    require_once 'vendor/autoload.php';

// Get $id_token via HTTPS POST.

$client = new Google_Client(['client_id' => $WEB_CLIENT_ID]);  // Specify the WEB_CLIENT_ID of the app that accesses the backend
$payload = $client->verifyIdToken($id_token);
if ($payload) {
  // This ID is unique to each Google Account, making it suitable for use as a primary key
  // during account lookup. Email is not a good choice because it can be changed by the user.
  $userid = $payload['sub'];
  // If the request specified a Google Workspace domain
  //$domain = $payload['hd'];
} else {
  // Invalid ID token
}

    Mit der Funktion verifyIdToken wird überprüft, die JWT-Signatur, die aud-Anforderung, die exp-Anforderung und die iss-Behauptung.

    Wenn Sie prüfen müssen, ob das ID-Token für Google Workspace oder Cloud steht Unternehmenskonto haben, können Sie die hd-Anforderung überprüfen, die angibt, Domain des Nutzers. Muss verwendet werden, wenn der Zugriff auf eine Ressource auf Mitglieder beschränkt wird bestimmter Domains. Das Fehlen dieses Anspruchs bedeutet, dass das Konto nicht zu eine von Google gehostete Domain.

    <ph type="x-smartling-placeholder">
    </ph>
    Python

    Verwenden Sie zum Validieren eines ID-Tokens in Python die Methode verify_oauth2_token . Beispiel:

    from google.oauth2 import id_token
from google.auth.transport import requests

# (Receive token by HTTPS POST)
# ...

try:
    # Specify the WEB_CLIENT_ID of the app that accesses the backend:
    idinfo = id_token.verify_oauth2_token(token, requests.Request(), WEB_CLIENT_ID)

    # Or, if multiple clients access the backend server:
    # idinfo = id_token.verify_oauth2_token(token, requests.Request())
    # if idinfo['aud'] not in [WEB_CLIENT_ID_1, WEB_CLIENT_ID_2, WEB_CLIENT_ID_3]:
    #     raise ValueError('Could not verify audience.')

    # If the request specified a Google Workspace domain
    # if idinfo['hd'] != DOMAIN_NAME:
    #     raise ValueError('Wrong domain name.')

    # ID token is valid. Get the user's Google Account ID from the decoded token.
    # This ID is unique to each Google Account, making it suitable for use as a primary key
    # during account lookup. Email is not a good choice because it can be changed by the user.
    userid = idinfo['sub']
except ValueError:
    # Invalid token
    pass

    Die Funktion verify_oauth2_token prüft das JWT Signatur, aud und exp. Sie müssen auch die hd bestätigen (falls zutreffend), indem wir das Objekt untersuchen, verify_oauth2_token kehrt zurück. Wenn mehrere Clients auf die Backend-Server, auch die aud-Anforderung manuell verifizieren.

  3. Sobald die Gültigkeit des Tokens bestätigt wurde, können Sie die Informationen im Google-ID-Token verwenden, um den Kontostatus Ihrer Website zu korrelieren:

    • Nicht registrierter Nutzer:Sie können eine Registrierungs-Benutzeroberfläche einblenden, über die der Nutzer bei Bedarf zusätzliche Profilinformationen angeben kann. Außerdem kann der Nutzer das neue Konto und eine angemeldete Nutzersitzung im Hintergrund erstellen.

    • Ein bestehendes Konto auf Ihrer Website:Sie können eine Webseite anzeigen, auf der der Endnutzer sein Passwort eingeben und das alte Konto mit seinen Google-Anmeldedaten verknüpfen kann. Damit wird bestätigt, dass der Nutzer Zugriff auf das vorhandene Konto hat.

    • Wiederkehrender Föderationsnutzer:Sie können den Nutzer im Hintergrund anmelden.