總覽

「使用 Google 帳戶登入」功能可協助您快速管理網站上的使用者驗證。使用者會登入 Google 帳戶、提供同意聲明,並與平台安全地分享個人資訊。

使用者註冊及登入支援可自訂的按鈕和多個流程。

「註冊」是指取得 Google 帳戶持有人同意,並與平台共用其個人資料的步驟。系統通常會使用這項共用資料,在您的網站上建立新帳戶,但這並非必要。

登入是指透過個人化登入按鈕One Tap自動登入功能,讓使用者透過有效的 Google 帳戶登入您的網站。

如需「使用 Google 帳戶登入」功能整合的一些成功案例,請參閱個案研究

您也可以使用 Google Identity Services 授權 API,取得搭配 Google API 使用的存取權杖,或存取使用者資料。

「使用 Google 帳戶登入」示範

按一下按鈕即可登入 Google 帳戶。

使用者隱私

「使用 Google 帳戶登入」功能的資料不會用於廣告或其他與安全性無關的用途。

用途

為網站啟用「使用 Google 帳戶登入」功能的部分原因如下:

  • 在帳戶建立或設定頁面中加入可明顯信任且安全的「使用 Google 帳戶登入」按鈕。
  • 使用 Google 帳戶設定檔的明確共用資料,預先填入新帳戶。
  • 使用者只要登入 Google 帳戶一次,不必重新輸入其他網站的使用者名稱或密碼。
  • 使用者回訪時,可以自動登入,或是在整個網站上按一下滑鼠即可登入。
  • 使用經過驗證的 Google 帳戶,防止留言、投票或表單遭到濫用,同時確保匿名身分。

支援的功能

「使用 Google 帳戶登入」功能支援下列功能:

  • 註冊:選擇性地建立由 Google 帳戶設定檔自動填入的新帳戶。
  • 登入:使用帳戶選擇工具一次選取多個帳戶。
  • 如果您已登入 Google 帳戶,輕觸一下即可登入。
  • 透過電腦、手機或多個瀏覽器分頁自動登入。
  • 登出即可停用所有裝置的自動登入功能。

請注意帳戶狀態可能對「使用 Google 帳戶登入」功能產生哪些影響:

  • Google 帳戶停權後,就不會再透過「使用 Google 帳戶登入」功能登入所有網站。
  • 刪除 Google 或合作夥伴帳戶只會影響其中一個帳戶,其他帳戶則不受影響。

與 OAuth 和 OpenID Connect 相比

OAuth 和 OpenId Connect 屬於開放式標準,提供各種可設定的選項,可微調驗證和授權流程的行為。詳情請參閱 Google 的 OAuth 說明文件

「使用 Google 帳戶登入」功能提供單一 SDK,當中涵蓋多項相關服務,包括個人化按鈕、One Tap、自動登入和授權。其目的在於為開發人員提供比標準 OAuth 和 OpenID Connect 通訊協定更簡單且更安全的體驗,同時提供更順暢的使用者體驗。

  • 「使用 Google 帳戶登入」功能採用的是 OAuth 2.0,透過「使用 Google 帳戶登入」功能授予的權限,與使用者授予 OAuth 的權限相同,反之亦然。
  • OAuth 2.0 也是業界標準的授權通訊協定。還能為一組端點提供使用 HTTP 整合的端點。
  • Google Identity Services (GIS) API 支援 JavaScript 和 HTML 等多種語言,可用於驗證及授權。
  • GIS 會將驗證時間與授權時間分開。在驗證期間,只要將部分 UI 元素整合至您的網站 (例如個人化按鈕、One Tap 和自動登入),即可快速完成整合。這些 UI 元素可在所有第三方網站上提供一致的驗證使用者體驗。在授權時間內,GIS 會觸發 OAuth 流程,代表使用者傳回資料存取權杖。
  • GIS 驗證能夠更輕鬆地與依賴方整合,並降低開發人員對 OAuth 和安全性知識的大部分負擔。您不需要以多種方式取得存取權杖或授權碼,也不必因為選擇錯誤方法而產生結果。雖然 OAuth 2.0 通訊協定會顯示許多詳細資料 (例如 HTTP 端點的要求和回應參數),但 GIS 會為您處理這些實作詳細資料。此外,GIS 還會預設針對跨網站要求偽造 (CSRF) 防護所提供的安全性實作。
  • 搭配使用 HTML API 和程式碼產生器,GIS 驗證就能降低依賴方整合的標準。您不需要使用 JavaScript 開發人員即可產生程式碼。這樣可降低所需的 OAuth 經驗並縮短實作時間。
  • GIS 授權使用者體驗完全是以 OAuth UX 為基礎。然而,GIS JavaScript 程式庫會加入一些限制,讓您更容易和安全地進行第三方整合。
  • GIS 也提供 OAuth 通訊協定以外的部分功能。例如整合 Password Credential Manager APIFederated Credential Manager API

藉由 Google Identity 服務,開發人員可以使用整合式的專屬服務,幫助使用者以使用者選擇的登入憑證登入開發人員的網站和應用程式。GIS 的使命是支援及簡化多種類型的憑證的使用者體驗,進而降低依賴方整合工作的技術門檻。

Federated Credential Manager (FedCM)

Privacy Sandbox 計畫中,Chrome 正逐步停止支援第三方 Cookie。GIS 整合 FedCM API。FedCM API 是全新的隱私權保護替代方案,用於聯合識別資訊提供者的第三方 Cookie。GIS 將於 2024 年 4 月開始將所有網站遷移至 Chrome 瀏覽器的 FedCM。

不同的驗證和授權時刻

如要取得與 Google API 搭配使用的存取權杖,或存取使用者資料,您需要呼叫 Google Identity Services 授權 API。它是獨立的 JavaScript API,但隨附於驗證 API 中。

如果您的網站需要同時呼叫驗證和授權 API,您需要在不同時機分別呼叫這些 API。在驗證程序中,您的網站可以整合 One Tap、自動登入和「使用 Google 帳戶登入」按鈕,讓使用者登入或註冊您的網站。在之後需要從 Google 存取資料時,您必須呼叫授權 API 來取得同意聲明,並取得資料存取的存取權杖。這種分隔方式符合我們建議的漸進式授權最佳做法,也就是在過程中要求權限。

為強制執行這項區隔,驗證 API 只能傳回用於登入網站的 ID 權杖,而授權 API 只能傳回僅用於資料存取而非登入的代碼或存取權杖。

透過這種區隔,使用者可以在不同網站間享有一致的驗證體驗,進而提高使用者的信任感和使用率,網站的使用者轉換率也會有所提升。此外,由於這樣的做法,Google Identity 服務可以減少驗證開發人員所需的 OAuth 體驗等級和時間。