जब उपयोगकर्ता कोई Google खाता चुनता है, तो One Tap की सुविधा से साइन-इन करने वाले क्लाइंट को Google आईडी टोकन मिलता है. आईडी टोकन, उपयोगकर्ता की पहचान पर हस्ताक्षर किया गया एक दावा होता है. इसमें उपयोगकर्ता की प्रोफ़ाइल की बुनियादी जानकारी भी शामिल होती है. इसमें वह ईमेल पता भी शामिल हो सकता है जिसकी पुष्टि Google ने की है.
आईडी टोकन उपलब्ध होने पर, इनका इस्तेमाल ऐप्लिकेशन के बैकएंड से सुरक्षित तरीके से पुष्टि करने के लिए किया जा सकता है. इसके अलावा, इनका इस्तेमाल करके उपयोगकर्ता के ईमेल पते की पुष्टि किए बिना, अपने-आप नए खाते में साइन अप किया जा सकता है.
आईडी टोकन की मदद से किसी उपयोगकर्ता में साइन इन या साइन अप करने के लिए, टोकन को अपने ऐप्लिकेशन के बैकएंड पर भेजें. बैकएंड पर, Google API क्लाइंट लाइब्रेरी या अलग-अलग कामों के लिए इस्तेमाल की जाने वाली JWT लाइब्रेरी का इस्तेमाल करके, टोकन की पुष्टि करें. अगर उपयोगकर्ता ने पहले इस Google खाते से आपके ऐप्लिकेशन में साइन इन नहीं किया है, तो नया खाता बनाएं.
अगर आपने रीप्ले हमलों से बचने के लिए वैकल्पिक तौर पर नॉन्स का इस्तेमाल करने का विकल्प चुना है, तो इसे अपने बैकएंड सर्वर पर आईडी टोकन के साथ भेजने के लिए getNonce का इस्तेमाल करें, और अनुमानित वैल्यू देखें. हमारा सुझाव है कि उपयोगकर्ताओं की सुरक्षा और बेहतर जानकारी के लिए, नॉन्स का इस्तेमाल करें.
क्रेडेंशियल ऑब्जेक्ट से आईडी टोकन पाएं
उपयोगकर्ता के क्रेडेंशियल फ़ेच करने के बाद, देखें कि क्रेडेंशियल ऑब्जेक्ट में आईडी टोकन मौजूद है या नहीं. अगर ऐसा होता है, तो उसे अपने बैकएंड पर भेजें.
Java
public class YourActivity extends AppCompatActivity { // ... private static final int REQ_ONE_TAP = 2; // Can be any integer unique to the Activity. private boolean showOneTapUI = true; // ... @Override protected void onActivityResult(int requestCode, int resultCode, @Nullable Intent data) { super.onActivityResult(requestCode, resultCode, data); switch (requestCode) { case REQ_ONE_TAP: try { SignInCredential credential = oneTapClient.getSignInCredentialFromIntent(data); String idToken = credential.getGoogleIdToken(); if (idToken != null) { // Got an ID token from Google. Use it to authenticate // with your backend. Log.d(TAG, "Got ID token."); } } catch (ApiException e) { // ... } break; } } }
Kotlin
class YourActivity : AppCompatActivity() { // ... private val REQ_ONE_TAP = 2 // Can be any integer unique to the Activity private var showOneTapUI = true // ... override fun onActivityResult(requestCode: Int, resultCode: Int, data: Intent?) { super.onActivityResult(requestCode, resultCode, data) when (requestCode) { REQ_ONE_TAP -> { try { val credential = oneTapClient.getSignInCredentialFromIntent(data) val idToken = credential.googleIdToken when { idToken != null -> { // Got an ID token from Google. Use it to authenticate // with your backend. Log.d(TAG, "Got ID token.") } else -> { // Shouldn't happen. Log.d(TAG, "No ID token!") } } } catch (e: ApiException) { // ... } } } // ... }
पुष्टि करना कि आईडी टोकन सही है या नहीं
एचटीटीपीएस POST से आईडी टोकन मिलने के बाद, आपको टोकन के इंटेग्रिटी की पुष्टि करनी होगी.
टोकन मान्य है, इसकी पुष्टि करने के लिए, पक्का करें कि: शर्तें पूरी की हैं:
- Google ने आईडी टोकन पर सही तरीके से हस्ताक्षर किया है. Google की सार्वजनिक कुंजियों का इस्तेमाल करें
(इसमें उपलब्ध है
JWK या
PEM फ़ॉर्मैट)
टोकन के हस्ताक्षर की पुष्टि करने के लिए. ये बटन नियमित रूप से घुमाए जाते हैं; जांच करें
जवाब में
Cache-Control
हेडर, ताकि यह तय किया जा सके कि कब तो आपको उन्हें फिर से वापस लाना होगा. - आईडी टोकन में
aud
की वैल्यू, आपके ऐप्लिकेशन की वैल्यू के बराबर है क्लाइंट आईडी. नुकसान पहुंचाने वाले मैलवेयर को जारी किए गए आईडी टोकन को रोकने के लिए यह जांच करना ज़रूरी है ऐप्लिकेशन का इस्तेमाल, आपके ऐप्लिकेशन के बैकएंड सर्वर पर उसी उपयोगकर्ता का डेटा ऐक्सेस करने के लिए किया जा रहा हो. - आईडी टोकन में
iss
की वैल्यू इसके बराबर हैaccounts.google.com
याhttps://accounts.google.com
. - आईडी टोकन की समयसीमा खत्म होने का समय (
exp
) नहीं हुआ है. - अगर आपको इस बात की पुष्टि करनी है कि आईडी टोकन, Google Workspace या Cloud से जुड़ा है या नहीं
तो आप
hd
दावे की जांच कर सकते हैं. इससे पता चलता है कि उपयोगकर्ता के डोमेन के साथ काम करता है. इसका इस्तेमाल तब किया जाना चाहिए, जब किसी संसाधन का ऐक्सेस सिर्फ़ इसके सदस्यों तक सीमित रखा गया हो कुछ डोमेन. इस दावे के मौजूद न होने का मतलब है कि यह खाता किसी Google की ओर से होस्ट किया गया डोमेन.
email
, email_verified
, और hd
फ़ील्ड का इस्तेमाल करके, यह पता लगाया जा सकता है कि
ईमेल पते को Google होस्ट करता है और आधिकारिक तौर पर उपलब्ध कराता है. ऐसे मामलों में जहां Google आधिकारिक है,
वह उपयोगकर्ता उस खाते का वैध स्वामी है और आप पासवर्ड या अन्य विकल्प
चैलेंज के तरीके.
ऐसे मामले, जिनमें Google आधिकारिक जानकारी देता है:
email
में@gmail.com
सफ़िक्स लगा है. यह Gmail खाता है.email_verified
सही है औरhd
सेट है, यह एक G Suite खाता है.
उपयोगकर्ता, Gmail या G Suite का इस्तेमाल किए बिना Google खातों के लिए रजिस्टर कर सकते हैं. टास्क कब शुरू होगा
email
में @gmail.com
सफ़िक्स नहीं है और hd
मौजूद नहीं है, Google
पुष्टि करने के लिए, भरोसेमंद और पासवर्ड या अन्य चैलेंज वाले तरीकों का इस्तेमाल करने का सुझाव दिया जाता है
उपयोगकर्ता है. email_verified
भी सही हो सकती है, क्योंकि Google ने शुरुआत में
Google खाता बनाए जाने के समय उपयोगकर्ता, हालांकि तीसरे पक्ष का मालिकाना हक
शायद उसके बाद ईमेल खाता बदल गया है.
पुष्टि करने के इन चरणों को पूरा करने के लिए, अपना कोड लिखने के बजाय हम इस बात पर ज़ोर देते हैं
अपने प्लैटफ़ॉर्म या किसी सामान्य मक़सद के लिए, Google API क्लाइंट लाइब्रेरी का इस्तेमाल करने का सुझाव दिया जाता है
JWT लाइब्रेरी. डेवलपमेंट और डीबग करने के लिए, हमारे tokeninfo
पर कॉल करें
पुष्टि करने वाला एंडपॉइंट.
Google API क्लाइंट लाइब्रेरी का इस्तेमाल करना
प्रोडक्शन एनवायरमेंट में, Google आईडी टोकन की पुष्टि करने के लिए, Google API क्लाइंट लाइब्रेरी में से किसी एक का इस्तेमाल करने का सुझाव दिया जाता है. जैसे, Java, Node.js, PHP, Python.
Java में किसी आईडी टोकन की पुष्टि करने के लिए, GoogleIdTokenVerifier ऑब्जेक्ट का इस्तेमाल करें. उदाहरण के लिए:
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken; import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload; import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier; ... GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory) // Specify the CLIENT_ID of the app that accesses the backend: .setAudience(Collections.singletonList(CLIENT_ID)) // Or, if multiple clients access the backend: //.setAudience(Arrays.asList(CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3)) .build(); // (Receive idTokenString by HTTPS POST) GoogleIdToken idToken = verifier.verify(idTokenString); if (idToken != null) { Payload payload = idToken.getPayload(); // Print user identifier String userId = payload.getSubject(); System.out.println("User ID: " + userId); // Get profile information from payload String email = payload.getEmail(); boolean emailVerified = Boolean.valueOf(payload.getEmailVerified()); String name = (String) payload.get("name"); String pictureUrl = (String) payload.get("picture"); String locale = (String) payload.get("locale"); String familyName = (String) payload.get("family_name"); String givenName = (String) payload.get("given_name"); // Use or store profile information // ... } else { System.out.println("Invalid ID token."); }
GoogleIdTokenVerifier.verify()
का इस्तेमाल, JWT के हस्ताक्षर, aud
दावे, iss
दावे, और exp
दावे की पुष्टि करता है.
अगर आपको यह पुष्टि करनी है कि आईडी टोकन, Google Workspace या Cloud
संगठन के खाते से जुड़ा है, तो hd
दावे की पुष्टि करें. इसके लिए, Payload.getHostedDomain()
तरीके से लौटाए गए डोमेन नेम की जांच करें. email
दावे वाले डोमेन की वजह से, यह पक्का नहीं किया जा सकता कि खाते को किसी डोमेन या संगठन से मैनेज किया जा रहा है या नहीं.
Node.js में किसी आईडी टोकन की पुष्टि करने के लिए, Node.js के लिए Google Auth लाइब्रेरी का इस्तेमाल करें. लाइब्रेरी इंस्टॉल करें:
npm install google-auth-library --saveइसके बाद,
verifyIdToken()
फ़ंक्शन को कॉल करें. उदाहरण के लिए:
const {OAuth2Client} = require('google-auth-library'); const client = new OAuth2Client(); async function verify() { const ticket = await client.verifyIdToken({ idToken: token, audience: CLIENT_ID, // Specify the CLIENT_ID of the app that accesses the backend // Or, if multiple clients access the backend: //[CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3] }); const payload = ticket.getPayload(); const userid = payload['sub']; // If the request specified a Google Workspace domain: // const domain = payload['hd']; } verify().catch(console.error);
verifyIdToken
फ़ंक्शन, JWT हस्ताक्षर, aud
दावे, exp
दावे, और iss
दावे की पुष्टि करता है.
अगर आपको इस बात की पुष्टि करनी है कि आईडी टोकन, Google Workspace या Cloud
संगठन के खाते के बारे में बताता है, तो hd
दावा देखें. इससे पता चलता है कि उपयोगकर्ता का होस्ट किया गया डोमेन क्या है. किसी संसाधन के ऐक्सेस को सिर्फ़ कुछ डोमेन के सदस्यों तक सीमित
करते समय, इसका इस्तेमाल करना चाहिए. इस दावे के न होने का मतलब है कि यह खाता,
Google के होस्ट किए गए डोमेन से नहीं जुड़ा है.
PHP में किसी आईडी टोकन की पुष्टि करने के लिए, PHP के लिए Google एपीआई क्लाइंट लाइब्रेरी का इस्तेमाल करें. लाइब्रेरी इंस्टॉल करें (उदाहरण के लिए, कंपोज़र का इस्तेमाल करके):
composer require google/apiclientइसके बाद,
verifyIdToken()
फ़ंक्शन को कॉल करें. उदाहरण के लिए:
require_once 'vendor/autoload.php'; // Get $id_token via HTTPS POST. $client = new Google_Client(['client_id' => $CLIENT_ID]); // Specify the CLIENT_ID of the app that accesses the backend $payload = $client->verifyIdToken($id_token); if ($payload) { $userid = $payload['sub']; // If the request specified a Google Workspace domain //$domain = $payload['hd']; } else { // Invalid ID token }
verifyIdToken
फ़ंक्शन, JWT हस्ताक्षर, aud
दावे, exp
दावे, और iss
दावे की पुष्टि करता है.
अगर आपको इस बात की पुष्टि करनी है कि आईडी टोकन, Google Workspace या Cloud
संगठन के खाते के बारे में बताता है, तो hd
दावा देखें. इससे पता चलता है कि उपयोगकर्ता का होस्ट किया गया डोमेन क्या है. किसी संसाधन के ऐक्सेस को सिर्फ़ कुछ डोमेन के सदस्यों तक सीमित
करते समय, इसका इस्तेमाल करना चाहिए. इस दावे के न होने का मतलब है कि यह खाता,
Google के होस्ट किए गए डोमेन से नहीं जुड़ा है.
Python में किसी आईडी टोकन की पुष्टि करने के लिए, verify_oauth2_token फ़ंक्शन का इस्तेमाल करें. उदाहरण के लिए:
from google.oauth2 import id_token from google.auth.transport import requests # (Receive token by HTTPS POST) # ... try: # Specify the CLIENT_ID of the app that accesses the backend: idinfo = id_token.verify_oauth2_token(token, requests.Request(), CLIENT_ID) # Or, if multiple clients access the backend server: # idinfo = id_token.verify_oauth2_token(token, requests.Request()) # if idinfo['aud'] not in [CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]: # raise ValueError('Could not verify audience.') # If the request specified a Google Workspace domain # if idinfo['hd'] != DOMAIN_NAME: # raise ValueError('Wrong domain name.') # ID token is valid. Get the user's Google Account ID from the decoded token. userid = idinfo['sub'] except ValueError: # Invalid token pass
verify_oauth2_token
फ़ंक्शन, JWT के हस्ताक्षर, aud
दावे, और exp
दावे की पुष्टि करता है.
आपको hd
दावे (अगर लागू हो) की पुष्टि भी करनी होगी. इसके लिए,
verify_oauth2_token
से मिले ऑब्जेक्ट की जांच करें. अगर एक से ज़्यादा क्लाइंट बैकएंड सर्वर को ऐक्सेस करते हैं, तो aud
के दावे की मैन्युअल तरीके से भी पुष्टि करें.
टोकन जानकारी एंडपॉइंट को कॉल करना
डीबगिंग के लिए, आईडी टोकन सिग्नेचर की पुष्टि करने का एक आसान तरीका
tokeninfo
एंडपॉइंट का इस्तेमाल करना है. इस एंडपॉइंट को कॉल करने के लिए एक और नेटवर्क अनुरोध शामिल होता है. इससे अपने कोड में सही तरीके से पुष्टि करने और पेलोड निकालने
की जांच करने के दौरान, पुष्टि का ज़्यादातर काम किया जाता है. यह प्रोडक्शन कोड में इस्तेमाल करने के लिए सही नहीं है, क्योंकि अनुरोधों को रोका जा सकता है या कभी-कभी गड़बड़ियां भी हो सकती हैं.
tokeninfo
एंडपॉइंट का इस्तेमाल करके, किसी आईडी टोकन की पुष्टि करने के लिए, एंडपॉइंट पर एचटीटीपीएस POST या GET अनुरोध भेजें और id_token
पैरामीटर में अपना आईडी टोकन पास करें.
उदाहरण के लिए, "XYZ123" टोकन की पुष्टि करने के लिए, यह GET अनुरोध करें:
https://oauth2.googleapis.com/tokeninfo?id_token=XYZ123
अगर टोकन सही तरीके से साइन किया गया है और iss
और exp
के दावों में अनुमानित वैल्यू हैं, तो आपको एचटीटीपी 200 रिस्पॉन्स मिलेगा. इस रिस्पॉन्स के मुख्य भाग में JSON फ़ॉर्मैट वाले आईडी टोकन के दावे शामिल होंगे.
यहां जवाब का एक उदाहरण दिया गया है:
{ // These six fields are included in all Google ID Tokens. "iss": "https://accounts.google.com", "sub": "110169484474386276334", "azp": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com", "aud": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com", "iat": "1433978353", "exp": "1433981953", // These seven fields are only included when the user has granted the "profile" and // "email" OAuth scopes to the application. "email": "testuser@gmail.com", "email_verified": "true", "name" : "Test User", "picture": "https://lh4.googleusercontent.com/-kYgzyAWpZzJ/ABCDEFGHI/AAAJKLMNOP/tIXL9Ir44LE/s99-c/photo.jpg", "given_name": "Test", "family_name": "User", "locale": "en" }
अगर आपको इस बात की पुष्टि करनी है कि आईडी टोकन से Google Workspace खाते का पता चलता है, तो hd
दावा देखें. इससे पता चलता है कि उपयोगकर्ता का होस्ट किया गया डोमेन क्या है. इसका इस्तेमाल तब करना चाहिए,
जब किसी संसाधन के ऐक्सेस को सिर्फ़ कुछ डोमेन के सदस्यों तक सीमित किया गया हो. यह दावा मौजूद न होने का मतलब है कि यह खाता, Google Workspace के होस्ट किए गए डोमेन से जुड़ा नहीं है.
खाता या सेशन बनाना
टोकन की पुष्टि करने के बाद, देखें कि उपयोगकर्ता पहले से आपके उपयोगकर्ता डेटाबेस में है या नहीं. अगर ऐसा है, तो उपयोगकर्ता के लिए एक पुष्टि किया गया सेशन बनाएं. अगर उपयोगकर्ता अब तक आपके उपयोगकर्ता डेटाबेस में नहीं है, तो आईडी टोकन पेलोड की जानकारी से एक नया उपयोगकर्ता रिकॉर्ड बनाएं और उपयोगकर्ता के लिए एक सेशन बनाएं. अगर आपको अपने ऐप्लिकेशन में किसी नए उपयोगकर्ता का पता चलता है, तो उपयोगकर्ता को प्रोफ़ाइल से जुड़ी अतिरिक्त जानकारी देने के लिए कहा जा सकता है.
'सभी खातों की सुरक्षा' सुविधा की मदद से अपने उपयोगकर्ताओं के खातों को सुरक्षित करना
अगर किसी उपयोगकर्ता के साइन इन के लिए Google पर भरोसा किया जाता है, तो आपको उन सभी सुरक्षा सुविधाओं और इन्फ़्रास्ट्रक्चर का फ़ायदा अपने-आप मिलेगा जिन्हें Google ने उपयोगकर्ता के डेटा को सुरक्षित रखने के लिए बनाया है. हालांकि, अगर उपयोगकर्ता के Google खाते के साथ छेड़छाड़ होने की संभावना कम हो या सुरक्षा से जुड़ी किसी दूसरी बड़ी घटना की वजह से, आपके ऐप्लिकेशन पर हमले का जोखिम भी हो सकता है. अपने खातों को सुरक्षा से जुड़ी किसी भी बड़ी गतिविधि से सुरक्षित रखने के लिए, सभी खातों की सुरक्षा का इस्तेमाल करें. इससे आपको Google से सुरक्षा से जुड़ी चेतावनियां मिलती हैं. ये इवेंट मिलने पर, आपको उपयोगकर्ता के Google खाते की सुरक्षा से जुड़े अहम बदलावों की जानकारी मिल जाती है. इसके बाद, अपने खातों को सुरक्षित रखने के लिए अपनी सेवा पर कार्रवाई की जा सकती है.