Der One Tap-Anmeldeclient ruft ein Google-ID-Token ab, wenn der Nutzer ein Google-Konto. Ein ID-Token ist eine signierte Bestätigung der Identität eines Nutzers, die auch die grundlegenden Profilinformationen eines Nutzers enthält, möglicherweise eine E-Mail-Adresse die von Google überprüft wurden.
Wenn ID-Tokens verfügbar sind, können Sie sie zur sicheren Authentifizierung bei an das Back-End Ihrer App senden oder den Nutzer automatisch für ein neues Konto ohne die E-Mail-Adresse des Nutzers bestätigen zu müssen.
Um einen Nutzer mit einem ID-Token anzumelden oder zu registrieren, senden Sie das Token an das Back-End. Überprüfen Sie im Back-End das Token mit einem Google API-Client. Bibliothek oder eine allgemeine JWT-Bibliothek. Wenn sich der Nutzer nicht in Ihrem mit diesem Google-Konto verwenden, erstellen Sie ein neues Konto.
Wenn Sie sich optional für die Verwendung einer Nonce entschieden haben, um Replay-Angriffe zu vermeiden, verwenden Sie getNonce um es zusammen mit dem ID-Token an Ihren Backend-Server zu senden, und prüfen Sie, erwarteter Wert. Wir empfehlen Ihnen dringend, eine Nonce zu verwenden, die Sicherheit der Nutzer zu verbessern.
ID-Token aus dem Objekt „Anmeldedaten“ abrufen
Prüfen Sie nach dem Abrufen der Anmeldedaten eines Nutzers, ob das Anmeldedatenobjekt enthält ein ID-Token. Wenn dies der Fall ist, senden Sie es an Ihr Back-End.
Java
public class YourActivity extends AppCompatActivity { // ... private static final int REQ_ONE_TAP = 2; // Can be any integer unique to the Activity. private boolean showOneTapUI = true; // ... @Override protected void onActivityResult(int requestCode, int resultCode, @Nullable Intent data) { super.onActivityResult(requestCode, resultCode, data); switch (requestCode) { case REQ_ONE_TAP: try { SignInCredential credential = oneTapClient.getSignInCredentialFromIntent(data); String idToken = credential.getGoogleIdToken(); if (idToken != null) { // Got an ID token from Google. Use it to authenticate // with your backend. Log.d(TAG, "Got ID token."); } } catch (ApiException e) { // ... } break; } } }
Kotlin
class YourActivity : AppCompatActivity() { // ... private val REQ_ONE_TAP = 2 // Can be any integer unique to the Activity private var showOneTapUI = true // ... override fun onActivityResult(requestCode: Int, resultCode: Int, data: Intent?) { super.onActivityResult(requestCode, resultCode, data) when (requestCode) { REQ_ONE_TAP -> { try { val credential = oneTapClient.getSignInCredentialFromIntent(data) val idToken = credential.googleIdToken when { idToken != null -> { // Got an ID token from Google. Use it to authenticate // with your backend. Log.d(TAG, "Got ID token.") } else -> { // Shouldn't happen. Log.d(TAG, "No ID token!") } } } catch (e: ApiException) { // ... } } } // ... }
Integrität des ID-Tokens prüfen
Nachdem Sie das ID-Token per HTTPS POST erhalten haben, müssen Sie die Integrität überprüfen des Tokens.
To verify that the token is valid, ensure that the following criteria are satisfied:
- The ID token is properly signed by Google. Use Google's public keys
(available in
JWK or
PEM format)
to verify the token's signature. These keys are regularly rotated; examine
the
Cache-Control
header in the response to determine when you should retrieve them again. - The value of
aud
in the ID token is equal to one of your app's client IDs. This check is necessary to prevent ID tokens issued to a malicious app being used to access data about the same user on your app's backend server. - The value of
iss
in the ID token is equal toaccounts.google.com
orhttps://accounts.google.com
. - The expiry time (
exp
) of the ID token has not passed. - If you need to validate that the ID token represents a Google Workspace or Cloud
organization account, you can check the
hd
claim, which indicates the hosted domain of the user. This must be used when restricting access to a resource to only members of certain domains. The absence of this claim indicates that the account does not belong to a Google hosted domain.
Using the email
, email_verified
and hd
fields, you can determine if
Google hosts and is authoritative for an email address. In the cases where Google is authoritative,
the user is known to be the legitimate account owner, and you may skip password or other
challenge methods.
Cases where Google is authoritative:
email
has a@gmail.com
suffix, this is a Gmail account.email_verified
is true andhd
is set, this is a G Suite account.
Users may register for Google Accounts without using Gmail or G Suite. When
email
does not contain a @gmail.com
suffix and hd
is absent, Google is not
authoritative and password or other challenge methods are recommended to verify
the user. email_verified
can also be true as Google initially verified the
user when the Google account was created, however ownership of the third party
email account may have since changed.
Rather than writing your own code to perform these verification steps, we strongly
recommend using a Google API client library for your platform, or a general-purpose
JWT library. For development and debugging, you can call our tokeninfo
validation endpoint.
Using a Google API Client Library
Using one of the Google API Client Libraries (e.g. Java, Node.js, PHP, Python) is the recommended way to validate Google ID tokens in a production environment.
To validate an ID token in Java, use the GoogleIdTokenVerifier object. For example:
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken; import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload; import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier; ... GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory) // Specify the CLIENT_ID of the app that accesses the backend: .setAudience(Collections.singletonList(CLIENT_ID)) // Or, if multiple clients access the backend: //.setAudience(Arrays.asList(CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3)) .build(); // (Receive idTokenString by HTTPS POST) GoogleIdToken idToken = verifier.verify(idTokenString); if (idToken != null) { Payload payload = idToken.getPayload(); // Print user identifier String userId = payload.getSubject(); System.out.println("User ID: " + userId); // Get profile information from payload String email = payload.getEmail(); boolean emailVerified = Boolean.valueOf(payload.getEmailVerified()); String name = (String) payload.get("name"); String pictureUrl = (String) payload.get("picture"); String locale = (String) payload.get("locale"); String familyName = (String) payload.get("family_name"); String givenName = (String) payload.get("given_name"); // Use or store profile information // ... } else { System.out.println("Invalid ID token."); }
The GoogleIdTokenVerifier.verify()
method verifies the JWT
signature, the aud
claim, the iss
claim, and the
exp
claim.
If you need to validate that the ID token represents a Google Workspace or Cloud
organization account, you can verify the hd
claim by checking the domain name
returned by the Payload.getHostedDomain()
method. The domain of the
email
claim is insufficient to ensure that the account is managed by a domain
or organization.
To validate an ID token in Node.js, use the Google Auth Library for Node.js. Install the library:
npm install google-auth-library --save
verifyIdToken()
function. For example:
const {OAuth2Client} = require('google-auth-library'); const client = new OAuth2Client(); async function verify() { const ticket = await client.verifyIdToken({ idToken: token, audience: CLIENT_ID, // Specify the CLIENT_ID of the app that accesses the backend // Or, if multiple clients access the backend: //[CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3] }); const payload = ticket.getPayload(); const userid = payload['sub']; // If the request specified a Google Workspace domain: // const domain = payload['hd']; } verify().catch(console.error);
The verifyIdToken
function verifies
the JWT signature, the aud
claim, the exp
claim,
and the iss
claim.
If you need to validate that the ID token represents a Google Workspace or Cloud
organization account, you can check the hd
claim, which indicates the hosted
domain of the user. This must be used when restricting access to a resource to only members
of certain domains. The absence of this claim indicates that the account does not belong to
a Google hosted domain.
To validate an ID token in PHP, use the Google API Client Library for PHP. Install the library (for example, using Composer):
composer require google/apiclient
verifyIdToken()
function. For example:
require_once 'vendor/autoload.php'; // Get $id_token via HTTPS POST. $client = new Google_Client(['client_id' => $CLIENT_ID]); // Specify the CLIENT_ID of the app that accesses the backend $payload = $client->verifyIdToken($id_token); if ($payload) { $userid = $payload['sub']; // If the request specified a Google Workspace domain //$domain = $payload['hd']; } else { // Invalid ID token }
The verifyIdToken
function verifies
the JWT signature, the aud
claim, the exp
claim,
and the iss
claim.
If you need to validate that the ID token represents a Google Workspace or Cloud
organization account, you can check the hd
claim, which indicates the hosted
domain of the user. This must be used when restricting access to a resource to only members
of certain domains. The absence of this claim indicates that the account does not belong to
a Google hosted domain.
To validate an ID token in Python, use the verify_oauth2_token function. For example:
from google.oauth2 import id_token from google.auth.transport import requests # (Receive token by HTTPS POST) # ... try: # Specify the CLIENT_ID of the app that accesses the backend: idinfo = id_token.verify_oauth2_token(token, requests.Request(), CLIENT_ID) # Or, if multiple clients access the backend server: # idinfo = id_token.verify_oauth2_token(token, requests.Request()) # if idinfo['aud'] not in [CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]: # raise ValueError('Could not verify audience.') # If the request specified a Google Workspace domain # if idinfo['hd'] != DOMAIN_NAME: # raise ValueError('Wrong domain name.') # ID token is valid. Get the user's Google Account ID from the decoded token. userid = idinfo['sub'] except ValueError: # Invalid token pass
The verify_oauth2_token
function verifies the JWT
signature, the aud
claim, and the exp
claim.
You must also verify the hd
claim (if applicable) by examining the object that
verify_oauth2_token
returns. If multiple clients access the
backend server, also manually verify the aud
claim.
Tokeninfo-Endpunkt aufrufen
Eine einfache Möglichkeit, die Signatur eines ID-Tokens für die Fehlerbehebung zu validieren, besteht darin,
Verwenden Sie den Endpunkt tokeninfo
. Zum Aufrufen dieses Endpunkts ist ein
zusätzliche Netzwerkanfrage, die die Validierung für Sie übernimmt, während Sie
Validierung und Nutzlastextraktion in Ihrem eigenen Code. Es ist nicht für die Verwendung in der Produktion geeignet.
da Anfragen gedrosselt werden oder anderweitig zu zeitweiligen Fehlern führen können.
Erstellen Sie ein HTTPS, um ein ID-Token mit dem Endpunkt tokeninfo
zu validieren
POST- oder GET-Anfrage an den Endpunkt und übergeben Sie Ihr ID-Token in der
id_token
-Parameter.
Um beispielsweise das Token „XYZ123“ zu validieren, stellen Sie die folgende GET-Anfrage:
https://oauth2.googleapis.com/tokeninfo?id_token=XYZ123
Wenn das Token ordnungsgemäß signiert ist und iss
und exp
Anforderungen die erwarteten Werte aufweisen, erhalten Sie eine HTTP 200-Antwort, in der der Text
enthält die ID-Token-Anforderungen im JSON-Format.
Sie sehen hier ein Beispiel:
{ // These six fields are included in all Google ID Tokens. "iss": "https://accounts.google.com", "sub": "110169484474386276334", "azp": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com", "aud": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com", "iat": "1433978353", "exp": "1433981953", // These seven fields are only included when the user has granted the "profile" and // "email" OAuth scopes to the application. "email": "testuser@gmail.com", "email_verified": "true", "name" : "Test User", "picture": "https://lh4.googleusercontent.com/-kYgzyAWpZzJ/ABCDEFGHI/AAAJKLMNOP/tIXL9Ir44LE/s99-c/photo.jpg", "given_name": "Test", "family_name": "User", "locale": "en" }
Wenn Sie überprüfen möchten, ob das ID-Token für ein Google Workspace-Konto steht, können Sie
Die hd
-Anforderung, die die gehostete Domain des Nutzers angibt. Muss verwendet werden, wenn
Sie können den Zugriff auf eine Ressource auf Mitglieder bestimmter Domains beschränken. Das Fehlen dieses Anspruchs
gibt an, dass das Konto nicht zu einer von Google Workspace gehosteten Domain gehört.
Konto oder Sitzung erstellen
Prüfen Sie nach der Bestätigung des Tokens, ob sich der Nutzer bereits bei Ihrem Nutzer befindet Datenbank. Wenn ja, richten Sie eine authentifizierte Sitzung für den Nutzer ein. Wenn der Nutzer befindet sich noch nicht in Ihrer Nutzerdatenbank, erstellen Sie anhand der Informationen in der Nutzlast des ID-Tokens und richten eine Sitzung für den Nutzer ein. Sie können den Nutzer auf zusätzliche Profilinformationen hin, die Sie benötigen, wenn Sie ein neu erstellten Nutzer in Ihrer App.
Schutz der Konten mit produktübergreifendem Kontoschutz
Wenn Sie einen Nutzer über Google anmelden, profitieren Sie automatisch von allen Sicherheitsfunktionen und die Infrastruktur, die Google zum Schutz der Nutzerdaten entwickelt hat. Sie können jedoch für den unwahrscheinlichen Fall, dass das Google-Konto des Nutzers gehackt wird ein Sicherheitsrisiko darstellt, kann deine App auch anfällig für Angriffe sein. Um Ihr Gerät besser zu schützen, vor allen wichtigen Sicherheitsvorfällen aktiviert haben, verwenden Sie Kontoübergreifende Schutz, um Sicherheitswarnungen von Google zu erhalten. Wenn Sie solche Ereignisse erhalten, Einblick in wichtige Änderungen für die Sicherheit des Google-Kontos des Nutzers und können Sie bei Ihrem Dienst Maßnahmen zum Schutz Ihrer Konten ergreifen.