ワンタップ ログイン クライアントは、ユーザーが Google アカウント。ID トークンはユーザー ID の署名付きアサーションであり、 ユーザーの基本的なプロフィール情報(メールアドレスなど)が含まれている メッセージを表示できます。
ID トークンが利用可能な場合、それらを使用して安全に認証を行うことができます。 新しいアカウントを自動的に作成する場合や、 ユーザーのメール アドレスを確認する必要はありません。
ID トークンを使用してユーザーのログインや登録を行うには、トークンをアプリケーションの バックエンドです。バックエンドで、Google API クライアントまたは API クライアントを使用してトークンを検証する または汎用の JWT ライブラリを使用できます。ユーザーがニュース メディアにログインしたことがない場合、 この Google アカウントでアプリを使用するには、新しいアカウントを作成してください。
リプレイ攻撃を回避するためにノンスを使用することを選択した場合は、次のコマンドを使用します。 getNonce このトークンを ID トークンとともにバックエンド サーバーに送信し、 示します。メッセージにノンスを使用することを強くおすすめします。 ユーザーの安全性とセキュリティを向上させることができます
認証情報オブジェクトから ID トークンを取得する
ユーザーの認証情報を取得したら、認証情報オブジェクトが ID トークンが含まれています。発生した場合は、バックエンドに送信します。
Java
public class YourActivity extends AppCompatActivity {
// ...
private static final int REQ_ONE_TAP = 2; // Can be any integer unique to the Activity.
private boolean showOneTapUI = true;
// ...
@Override
protected void onActivityResult(int requestCode, int resultCode, @Nullable Intent data) {
super.onActivityResult(requestCode, resultCode, data);
switch (requestCode) {
case REQ_ONE_TAP:
try {
SignInCredential credential = oneTapClient.getSignInCredentialFromIntent(data);
String idToken = credential.getGoogleIdToken();
if (idToken != null) {
// Got an ID token from Google. Use it to authenticate
// with your backend.
Log.d(TAG, "Got ID token.");
}
} catch (ApiException e) {
// ...
}
break;
}
}
}
Kotlin
class YourActivity : AppCompatActivity() {
// ...
private val REQ_ONE_TAP = 2 // Can be any integer unique to the Activity
private var showOneTapUI = true
// ...
override fun onActivityResult(requestCode: Int, resultCode: Int, data: Intent?) {
super.onActivityResult(requestCode, resultCode, data)
when (requestCode) {
REQ_ONE_TAP -> {
try {
val credential = oneTapClient.getSignInCredentialFromIntent(data)
val idToken = credential.googleIdToken
when {
idToken != null -> {
// Got an ID token from Google. Use it to authenticate
// with your backend.
Log.d(TAG, "Got ID token.")
}
else -> {
// Shouldn't happen.
Log.d(TAG, "No ID token!")
}
}
} catch (e: ApiException) {
// ...
}
}
}
// ...
}
ID トークンの整合性を確認する
HTTPS POST で ID トークンを受信したら、完全性を検証する必要があります。 渡されます。
To verify that the token is valid, ensure that the following criteria are satisfied:
- The ID token is properly signed by Google. Use Google's public keys
(available in
JWK or
PEM format)
to verify the token's signature. These keys are regularly rotated; examine
the
Cache-Controlheader in the response to determine when you should retrieve them again. - The value of
audin the ID token is equal to one of your app's client IDs. This check is necessary to prevent ID tokens issued to a malicious app being used to access data about the same user on your app's backend server. - The value of
issin the ID token is equal toaccounts.google.comorhttps://accounts.google.com. - The expiry time (
exp) of the ID token has not passed. - If you need to validate that the ID token represents a Google Workspace or Cloud
organization account, you can check the
hdclaim, which indicates the hosted domain of the user. This must be used when restricting access to a resource to only members of certain domains. The absence of this claim indicates that the account does not belong to a Google hosted domain.
Using the email, email_verified and hd fields, you can determine if
Google hosts and is authoritative for an email address. In the cases where Google is authoritative,
the user is known to be the legitimate account owner, and you may skip password or other
challenge methods.
Cases where Google is authoritative:
emailhas a@gmail.comsuffix, this is a Gmail account.email_verifiedis true andhdis set, this is a G Suite account.
Users may register for Google Accounts without using Gmail or G Suite. When
email does not contain a @gmail.com suffix and hd is absent, Google is not
authoritative and password or other challenge methods are recommended to verify
the user. email_verified can also be true as Google initially verified the
user when the Google account was created, however ownership of the third party
email account may have since changed.
Rather than writing your own code to perform these verification steps, we strongly
recommend using a Google API client library for your platform, or a general-purpose
JWT library. For development and debugging, you can call our tokeninfo
validation endpoint.
Google API クライアント ライブラリの使用
Google API クライアント ライブラリのいずれか( Java、 Node.js、 PHP、 Python など) は、本番環境で Google ID トークンを検証する場合におすすめの方法です。
<ph type="x-smartling-placeholder">Java で ID トークンを検証するには、 GoogleIdTokenVerifier オブジェクトです。例:
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;
...
GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
// Specify the CLIENT_ID of the app that accesses the backend:
.setAudience(Collections.singletonList(CLIENT_ID))
// Or, if multiple clients access the backend:
//.setAudience(Arrays.asList(CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3))
.build();
// (Receive idTokenString by HTTPS POST)
GoogleIdToken idToken = verifier.verify(idTokenString);
if (idToken != null) {
Payload payload = idToken.getPayload();
// Print user identifier
String userId = payload.getSubject();
System.out.println("User ID: " + userId);
// Get profile information from payload
String email = payload.getEmail();
boolean emailVerified = Boolean.valueOf(payload.getEmailVerified());
String name = (String) payload.get("name");
String pictureUrl = (String) payload.get("picture");
String locale = (String) payload.get("locale");
String familyName = (String) payload.get("family_name");
String givenName = (String) payload.get("given_name");
// Use or store profile information
// ...
} else {
System.out.println("Invalid ID token.");
}
GoogleIdTokenVerifier.verify() メソッドで JWT を検証する
署名、aud クレーム、iss クレーム、
exp の申し立て。
ID トークンが Google Workspace または Cloud
組織アカウントの場合は、ドメイン名を確認することで hd クレームを確認できます。
Payload.getHostedDomain() メソッドが返す値。ドメインの
アカウントがドメインによって管理されていることを確認するには email 申請では不十分です
できます。
Node.js で ID トークンを検証するには、Node.js 用 Google 認証ライブラリを使用します。 ライブラリをインストールします。
npm install google-auth-library --save次に、
verifyIdToken() 関数を呼び出します。例:
const {OAuth2Client} = require('google-auth-library');
const client = new OAuth2Client();
async function verify() {
const ticket = await client.verifyIdToken({
idToken: token,
audience: CLIENT_ID, // Specify the CLIENT_ID of the app that accesses the backend
// Or, if multiple clients access the backend:
//[CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]
});
const payload = ticket.getPayload();
const userid = payload['sub'];
// If the request specified a Google Workspace domain:
// const domain = payload['hd'];
}
verify().catch(console.error);
verifyIdToken 関数は、以下を確認します。
JWT 署名、aud クレーム、exp クレーム、
iss クレーム。
ID トークンが Google Workspace または Cloud
組織アカウントの場合は、hd クレームを確認できます。これは、ホストされている Pod が
ユーザーのドメインです。これは、リソースへのアクセスをメンバーのみに制限する場合に使用します
特定のドメインのこの申し立てがない場合は、アカウントが
Google がホストするドメインです。
PHP で ID トークンを検証するには、PHP 用の Google API クライアント ライブラリを使用します。 ライブラリをインストールします(Composer を使用するなど)。
composer require google/apiclient次に、
verifyIdToken() 関数を呼び出します。例:
require_once 'vendor/autoload.php';
// Get $id_token via HTTPS POST.
$client = new Google_Client(['client_id' => $CLIENT_ID]); // Specify the CLIENT_ID of the app that accesses the backend
$payload = $client->verifyIdToken($id_token);
if ($payload) {
$userid = $payload['sub'];
// If the request specified a Google Workspace domain
//$domain = $payload['hd'];
} else {
// Invalid ID token
}
verifyIdToken 関数は、以下を確認します。
JWT 署名、aud クレーム、exp クレーム、
iss クレーム。
ID トークンが Google Workspace または Cloud
組織アカウントの場合は、hd クレームを確認できます。これは、ホストされている Pod が
ユーザーのドメインです。これは、リソースへのアクセスをメンバーのみに制限する場合に使用します
特定のドメインのこの申し立てがない場合は、アカウントが
Google がホストするドメインです。
Python で ID トークンを検証するには、 verify_oauth2_token 使用します。例:
from google.oauth2 import id_token
from google.auth.transport import requests
# (Receive token by HTTPS POST)
# ...
try:
# Specify the CLIENT_ID of the app that accesses the backend:
idinfo = id_token.verify_oauth2_token(token, requests.Request(), CLIENT_ID)
# Or, if multiple clients access the backend server:
# idinfo = id_token.verify_oauth2_token(token, requests.Request())
# if idinfo['aud'] not in [CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]:
# raise ValueError('Could not verify audience.')
# If the request specified a Google Workspace domain
# if idinfo['hd'] != DOMAIN_NAME:
# raise ValueError('Wrong domain name.')
# ID token is valid. Get the user's Google Account ID from the decoded token.
userid = idinfo['sub']
except ValueError:
# Invalid token
pass
verify_oauth2_token 関数で JWT を検証する
aud クレーム、exp クレームの 3 つが存在します。
hd も確認する必要があります
(該当する場合は)そのオブジェクトを調べ、
verify_oauth2_token が返品可能。複数のクライアントが
aud クレームも手動で検証します。
Calling the tokeninfo endpoint
An easy way to validate an ID token signature for debugging is to
use the tokeninfo endpoint. Calling this endpoint involves an
additional network request that does most of the validation for you while you test proper
validation and payload extraction in your own code. It is not suitable for use in production
code as requests may be throttled or otherwise subject to intermittent errors.
To validate an ID token using the tokeninfo endpoint, make an HTTPS
POST or GET request to the endpoint, and pass your ID token in the
id_token parameter.
For example, to validate the token "XYZ123", make the following GET request:
https://oauth2.googleapis.com/tokeninfo?id_token=XYZ123
If the token is properly signed and the iss and exp
claims have the expected values, you will get a HTTP 200 response, where the body
contains the JSON-formatted ID token claims.
Here's an example response:
{
// These six fields are included in all Google ID Tokens.
"iss": "https://accounts.google.com",
"sub": "110169484474386276334",
"azp": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
"aud": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
"iat": "1433978353",
"exp": "1433981953",
// These seven fields are only included when the user has granted the "profile" and
// "email" OAuth scopes to the application.
"email": "testuser@gmail.com",
"email_verified": "true",
"name" : "Test User",
"picture": "https://lh4.googleusercontent.com/-kYgzyAWpZzJ/ABCDEFGHI/AAAJKLMNOP/tIXL9Ir44LE/s99-c/photo.jpg",
"given_name": "Test",
"family_name": "User",
"locale": "en"
}If you need to validate that the ID token represents a Google Workspace account, you can check
the hd claim, which indicates the hosted domain of the user. This must be used when
restricting access to a resource to only members of certain domains. The absence of this claim
indicates that the account does not belong to a Google Workspace hosted domain.
アカウントまたはセッションを作成する
トークンを確認したら、ユーザーがすでにユーザーに含まれているかどうかを確認する データベースですその場合は、ユーザーの認証済みセッションを確立します。ユーザーが まだユーザー データベースにない場合は、情報から新しいユーザー レコードを作成します。 を ID トークン ペイロード内で指定し、ユーザーのセッションを確立します。このプロンプトを 追加のプロファイル情報をユーザーに送信するには、 ユーザーを追加します。
ユーザーの安全をクロスアカウント保護機能が有効なアカウント
ユーザーのログインを Google に任せると、自動的に ユーザーのデータを保護するために Google が構築したセキュリティ機能とインフラストラクチャです。ただし、 万一、ユーザーの Google アカウントが不正使用された場合や、 重大なセキュリティ イベントが発生した場合、アプリは攻撃に対して脆弱になる可能性もあります。お客様のデータを 使用する必要がある場合は、クロスアカウントを使用して 保護: Google からセキュリティ通知を受け取れます。これらのイベントを受信すると、 ユーザーの Google アカウントのセキュリティに関する重要な変更に対する可視性を得る。 アカウントを保護するための措置を講じることができます。