OpenID Connect

Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Les API OAuth 2.0 de Google peuvent être utilisées à la fois pour l'authentification et l'autorisation. Ce document décrit notre mise en œuvre du protocole OAuth 2.0 pour l'authentification. Il est conforme à la spécification OpenID Connect et certifié OpenID. La documentation décrite dans Utiliser OAuth 2.0 pour accéder aux API Google s'applique également à ce service. Si vous souhaitez explorer ce protocole de manière interactive, nous vous recommandons d'utiliser Google OAuth 2.0 Playground. Pour obtenir de l'aide sur Stack Overflow, ajoutez le tag 'google-oauth' à vos questions.

Configurer OAuth 2.0

Pour que votre application puisse utiliser le système d'authentification OAuth 2.0 de Google pour la connexion utilisateur, vous devez configurer un projet dans le fichier Google API Console afin d'obtenir les identifiants OAuth 2.0, définir un URI de redirection et (éventuellement) personnaliser les informations de branding que vos utilisateurs voient sur l'écran de consentement de l'utilisateur. Vous pouvez également utiliser API Console pour créer un compte de service, activer la facturation, configurer le filtrage et effectuer d'autres tâches. Pour en savoir plus, consultez le Centre d'aideGoogle API Console.

Obtenir des identifiants OAuth 2.0

Vous avez besoin d'identifiants OAuth 2.0, y compris un ID et un code secret de client, pour authentifier les utilisateurs et accéder aux API de Google.

Pour afficher l'ID client et le secret client pour une information d'identification OAuth 2.0 donnée, cliquez sur le texte suivant: Sélectionnez les informations d'identification . Dans la fenêtre qui s'ouvre, choisissez votre projet et les informations d'identification souhaitées, puis cliquez sur Afficher .

Ou affichez votre ID client et votre secret client sur la page API Console identification dans API Console :

  1. Go to the Credentials page.
  2. Cliquez sur le nom de vos informations d'identification ou sur l'icône en forme de crayon ( ). Votre identifiant client et votre secret sont en haut de la page.

Définir un URI de redirection

L'URI de redirection que vous définissez dans le fichier API Console détermine où Google envoie des réponses à vos requêtes d'authentification.

Pour créer, afficher ou modifier les URI de redirection pour une information d'identification OAuth 2.0 donnée, procédez comme suit:

  1. Go to the Credentials page.
  2. Dans la section ID client OAuth 2.0 de la page, cliquez sur une information d'identification.
  3. Affichez ou modifiez les URI de redirection.

S'il n'y a pas de section ID client OAuth 2.0 sur la page Informations d'identification, votre projet n'a pas d'informations d'identification OAuth. Pour en créer un, cliquez sur Créer des informations d'identification .

Personnaliser l'écran de consentement de l'utilisateur

Pour vos utilisateurs, l'authentification OAuth 2.0 inclut un écran de consentement qui décrit les informations qu'ils libèrent et les conditions qui s'appliquent. Par exemple, lorsque l'utilisateur se connecte, il peut être invité à donner à votre application l'accès à son adresse e-mail et aux informations de base de son compte. Vous demandez l'accès à ces informations à l'aide du paramètre scope, que votre application inclut dans sa requête d'authentification. Vous pouvez également utiliser les champs d'application pour demander l'accès à d'autres API Google.

L'écran de consentement de l'utilisateur contient également des informations sur le branding, telles que le nom de votre produit, votre logo et l'URL de votre page d'accueil. Vous contrôlez les informations de branding dans la API Console.

Pour activer l'écran de consentement de votre projet:

  1. Ouvrez le Consent Screen page dans le Google API Console .
  2. If prompted, select a project, or create a new one.
  3. Remplissez le formulaire et cliquez sur Enregistrer .

La boîte de dialogue de consentement suivante indique ce qu'un utilisateur verra lorsqu'une combinaison de champs d'application OAuth 2.0 et Google Drive est présente dans la requête. Cette boîte de dialogue générique a été générée à l'aide de Google OAuth 2.0 Playground. Elle n'inclut donc pas d'informations de branding définies dans API Console.

Capture d'écran de la page de consentement

Accéder au service

Google et des fournisseurs tiers fournissent des bibliothèques qui vous permettent de vous occuper de la plupart des détails d'implémentation liés à l'authentification des utilisateurs et à l'accès aux API Google. Exemples : les services Google Identity et les bibliothèques clientes Google, disponibles pour plusieurs plates-formes.

Si vous choisissez de ne pas utiliser de bibliothèque, suivez les instructions dans la suite de ce document, qui décrit les flux de requêtes HTTP sous-jacents aux bibliothèques disponibles.

Authentifier l'utilisateur

Pour authentifier l'utilisateur, il faut obtenir un jeton d'ID et le valider. Les jetons d'identification sont une fonctionnalité standardisée d'OpenID Connect, conçue pour permettre le partage d'assertions sur Internet.

Les méthodes les plus couramment utilisées pour authentifier un utilisateur et obtenir un jeton d'ID sont les flux "serveur" et "implicite". Le flux du serveur permet au serveur backend d'une application de vérifier l'identité de la personne à l'aide d'un navigateur ou d'un appareil mobile. Le flux implicite est utilisé lorsqu'une application côté client (généralement une application JavaScript exécutée dans le navigateur) doit accéder directement aux API plutôt que via son serveur backend.

Ce document explique comment exécuter le flux de serveur pour authentifier l'utilisateur. Le parcours implicite est beaucoup plus complexe en raison des risques de sécurité liés au traitement et à l'utilisation des jetons côté client. Si vous devez implémenter un flux implicite, nous vous recommandons vivement d'utiliser les services Google Identity.

Flux du serveur

Assurez-vous de configurer votre application dans API Console pour lui permettre d'utiliser ces protocoles et d'authentifier vos utilisateurs. Lorsqu'un utilisateur tente de se connecter avec Google, vous devez:

  1. Créer un jeton d'état anti-contrefaçon
  2. Envoyer une demande d'authentification à Google
  3. Confirmer le jeton d'état contre la falsification
  4. Échanger code contre un jeton d'accès et un jeton d'ID
  5. Obtenir des informations sur l'utilisateur à partir du jeton d'ID
  6. Authentifier l'utilisateur

1. Créer un jeton d'état anti-contrefaçon

Vous devez protéger la sécurité de vos utilisateurs en empêchant les attaques par falsification de requêtes. La première étape consiste à créer un jeton de session unique qui maintient l'état entre votre application et le client de l'utilisateur. Vous faites ensuite correspondre ce jeton de session unique à la réponse d'authentification renvoyée par le service de connexion Google OAuth pour vérifier que l'utilisateur effectue la requête et non un pirate informatique malveillant. Ces jetons sont souvent appelés jetons CSRF.

Un jeton d'état peut être une chaîne de 30 caractères environ, basée sur un générateur de nombres aléatoires de haute qualité. Un autre hachage est généré en signant certaines de vos variables d'état de session avec une clé gardée secrète dans votre backend.

Le code suivant montre comment générer des jetons de session uniques.

PHP

Vous devez télécharger la bibliothèque cliente des API Google pour PHP pour utiliser cet exemple.

// Create a state token to prevent request forgery.
// Store it in the session for later validation.
$state = bin2hex(random_bytes(128/8));
$app['session']->set('state', $state);
// Set the client ID, token state, and application name in the HTML while
// serving it.
return $app['twig']->render('index.html', array(
    'CLIENT_ID' => CLIENT_ID,
    'STATE' => $state,
    'APPLICATION_NAME' => APPLICATION_NAME
));

Java

Vous devez télécharger la bibliothèque cliente des API Google pour Java pour utiliser cet exemple.

// Create a state token to prevent request forgery.
// Store it in the session for later validation.
String state = new BigInteger(130, new SecureRandom()).toString(32);
request.session().attribute("state", state);
// Read index.html into memory, and set the client ID,
// token state, and application name in the HTML before serving it.
return new Scanner(new File("index.html"), "UTF-8")
    .useDelimiter("\\A").next()
    .replaceAll("[{]{2}\\s*CLIENT_ID\\s*[}]{2}", CLIENT_ID)
    .replaceAll("[{]{2}\\s*STATE\\s*[}]{2}", state)
    .replaceAll("[{]{2}\\s*APPLICATION_NAME\\s*[}]{2}",
    APPLICATION_NAME);

Python

Vous devez télécharger la bibliothèque cliente des API Google pour Python pour utiliser cet exemple.

# Create a state token to prevent request forgery.
# Store it in the session for later validation.
state = hashlib.sha256(os.urandom(1024)).hexdigest()
session['state'] = state
# Set the client ID, token state, and application name in the HTML while
# serving it.
response = make_response(
    render_template('index.html',
                    CLIENT_ID=CLIENT_ID,
                    STATE=state,
                    APPLICATION_NAME=APPLICATION_NAME))

2. Envoyer une demande d'authentification à Google

L'étape suivante consiste à former une requête HTTPS GET avec les paramètres d'URI appropriés. Notez l'utilisation de HTTPS plutôt que HTTP à toutes les étapes de ce processus. Les connexions HTTP sont refusées. Vous devez récupérer l'URI de base du document de découverte à l'aide de la valeur de métadonnées authorization_endpoint. La discussion suivante suppose que l'URI de base est https://accounts.google.com/o/oauth2/v2/auth.

Pour une requête de base, spécifiez les paramètres suivants:

  • client_id, que vous obtenez à partir de API ConsoleCredentials page
  • response_type, qui doit être code dans une requête de flux de code d'autorisation de base. Pour en savoir plus, consultez la page response_type.
  • scope, qui doit être openid email dans une requête de base. Pour en savoir plus, consultez la page scope.
  • redirect_uri doit être le point de terminaison HTTP de votre serveur qui recevra la réponse de Google. La valeur doit correspondre exactement à l'un des URI de redirection autorisés pour le client OAuth 2.0, que vous avez configuré dans API ConsoleCredentials page. Si cette valeur ne correspond pas à un URI autorisé, la requête échoue et renvoie une erreur redirect_uri_mismatch.
  • state doit inclure la valeur du jeton de session unique contre la falsification, ainsi que toute autre information requise pour récupérer le contexte lorsque l'utilisateur revient à votre application, par exemple l'URL de démarrage. Pour en savoir plus, consultez la page state.
  • nonce est une valeur aléatoire générée par votre application qui active la protection contre la relecture lorsqu'elle est présente.
  • login_hint peut être l'adresse e-mail de l'utilisateur ou la chaîne sub, ce qui équivaut à l'ID Google de l'utilisateur. Si vous ne fournissez pas de login_hint et que l'utilisateur est actuellement connecté, l'écran de consentement inclut une demande d'autorisation pour autoriser l'adresse e-mail de l'utilisateur à accéder à votre application. Pour en savoir plus, consultez la page login_hint.
  • Utilisez le paramètre hd pour optimiser le flux OpenID Connect pour les utilisateurs d'un domaine particulier associé à une organisation Google Cloud. Pour en savoir plus, consultez la page hd.

Voici un exemple d'URI d'authentification OpenID Connect complet, avec des sauts de ligne et des espaces pour une meilleure lisibilité:

https://accounts.google.com/o/oauth2/v2/auth?
 response_type=code&
 client_id=424911365001.apps.googleusercontent.com&
 scope=openid%20email&
 redirect_uri=https%3A//oauth2.example.com/code&
 state=security_token%3D138r5719ru3e1%26url%3Dhttps%3A%2F%2Foauth2-login-demo.example.com%2FmyHome&
 login_hint=jsmith@example.com&
 nonce=0394852-3190485-2490358&
 hd=example.com

Les utilisateurs doivent donner leur autorisation si votre application demande de nouvelles informations les concernant ou si votre application demande l'accès au compte qu'ils n'ont pas encore approuvé.

3. Confirmer le jeton d'état contre la falsification

La réponse est envoyée au redirect_uri que vous avez spécifié dans la requête. Toutes les réponses sont renvoyées dans la chaîne de requête, comme indiqué ci-dessous:

https://oauth2.example.com/code?state=security_token%3D138r5719ru3e1%26url%3Dhttps%3A%2F%2Foa2cb.example.com%2FmyHome&code=4/P7q7W91a-oMsCeLvIaQm6bTrgtp7&scope=openid%20email%20https://www.googleapis.com/auth/userinfo.email

Sur le serveur, vous devez vérifier que la valeur state reçue de Google correspond au jeton de session que vous avez créé à l'étape 1. Cette validation aller-retour permet de garantir que l'utilisateur envoie la requête, et non un script malveillant.

Le code suivant montre la confirmation des jetons de session que vous avez créés à l'étape 1:

PHP

Vous devez télécharger la bibliothèque cliente des API Google pour PHP pour utiliser cet exemple.

// Ensure that there is no request forgery going on, and that the user
// sending us this connect request is the user that was supposed to.
if ($request->get('state') != ($app['session']->get('state'))) {
  return new Response('Invalid state parameter', 401);
}

Java

Vous devez télécharger la bibliothèque cliente des API Google pour Java pour utiliser cet exemple.

// Ensure that there is no request forgery going on, and that the user
// sending us this connect request is the user that was supposed to.
if (!request.queryParams("state").equals(
    request.session().attribute("state"))) {
  response.status(401);
  return GSON.toJson("Invalid state parameter.");
}

Python

Vous devez télécharger la bibliothèque cliente des API Google pour Python pour utiliser cet exemple.

# Ensure that the request is not a forgery and that the user sending
# this connect request is the expected user.
if request.args.get('state', '') != session['state']:
  response = make_response(json.dumps('Invalid state parameter.'), 401)
  response.headers['Content-Type'] = 'application/json'
  return response

4. Échangez code contre un jeton d'accès et un jeton d'ID.

La réponse inclut un paramètre code, un code d'autorisation unique que votre serveur peut échanger contre un jeton d'accès et un jeton d'ID. Votre serveur effectue cet échange en envoyant une requête HTTPS POST. La requête POST est envoyée au point de terminaison du jeton, que vous devez récupérer à partir du document de découverte à l'aide de la valeur de métadonnées token_endpoint. La discussion suivante suppose que le point de terminaison est https://oauth2.googleapis.com/token. La requête doit inclure les paramètres suivants dans le corps POST:

Champs
code Code d'autorisation renvoyé par la requête initiale.
client_id ID client obtenu à partir de API ConsoleCredentials page, comme décrit dans la section Obtenir des identifiants OAuth 2.0.
client_secret Le secret client que vous obtenez à partir de API ConsoleCredentials page, comme décrit dans la section Obtenir des identifiants OAuth 2.0.
redirect_uri Un URI de redirection autorisé pour le client_id donné, spécifié dans le Credentials page API Console, comme décrit dans la section Définir un URI de redirection.
grant_type Ce champ doit contenir la valeur authorization_code, comme indiqué dans la spécification OAuth 2.0.

La requête réelle peut se présenter comme suit:

POST /token HTTP/1.1
Host: oauth2.googleapis.com
Content-Type: application/x-www-form-urlencoded

code=4/P7q7W91a-oMsCeLvIaQm6bTrgtp7&
client_id=your-client-id&
client_secret=your-client-secret&
redirect_uri=https%3A//oauth2.example.com/code&
grant_type=authorization_code

Une réponse positive à cette requête contient les champs suivants dans un tableau JSON:

Champs
access_token Jeton pouvant être envoyé à une API Google.
expires_in Durée de vie restante du jeton d'accès, en secondes.
id_token JWT contenant des informations sur l'identité de l'utilisateur signées numériquement par Google.
scope Les champs d'application d'accès accordés par access_token, sous la forme d'une liste de chaînes sensibles à la casse, séparées par un espace.
token_type Identifie le type de jeton renvoyé. À l'heure actuelle, ce champ a toujours la valeur Bearer.
refresh_token (facultatif)

Ce champ n'est présent que si le paramètre access_type a été défini sur offline dans la requête d'authentification. Pour en savoir plus, consultez Jetons d'actualisation.

5. Obtenir des informations sur les utilisateurs à partir du jeton d'ID

Un jeton d'ID est un JWT (jeton Web JSON), c'est-à-dire un objet JSON encodé en base64 et chiffré. Normalement, il est essentiel de valider un jeton d'identification avant de l'utiliser. Toutefois, comme vous communiquez directement avec Google via un canal HTTPS sans intermédiaires et que vous utilisez votre code secret client pour vous authentifier auprès de Google, vous pouvez être sûr que le jeton reçu provient bien de Google et qu'il est valide. Si votre serveur transmet le jeton d'ID à d'autres composants de votre application, il est extrêmement important que les autres composants valident le jeton avant de l'utiliser.

Étant donné que la plupart des bibliothèques d'API combinent la validation et le travail de décodage des valeurs encodées en base64url et d'analyse du fichier JSON, vous finirez probablement par valider le jeton lorsque vous accéderez aux revendications du jeton d'ID.

Charge utile d'un jeton d'ID

Un jeton d'ID est un objet JSON contenant un ensemble de paires nom/valeur. Voici un exemple de format mis en forme pour une meilleure lisibilité:

{
  "iss": "https://accounts.google.com",
  "azp": "1234987819200.apps.googleusercontent.com",
  "aud": "1234987819200.apps.googleusercontent.com",
  "sub": "10769150350006150715113082367",
  "at_hash": "HK6E_P6Dh8Y93mRNtsDB1Q",
  "hd": "example.com",
  "email": "jsmith@example.com",
  "email_verified": "true",
  "iat": 1353601026,
  "exp": 1353604926,
  "nonce": "0394852-3190485-2490358"
}

Les jetons d'ID Google peuvent contenir les champs suivants (appelés revendications):

Demander Fourni Description
aud toujours Audience à laquelle ce jeton d'ID est destiné. Il doit s'agir de l'un des ID client OAuth 2.0 de votre application.
exp toujours Délai d'expiration à partir duquel le jeton d'ID ne doit plus être accepté. Représenté en temps Unix (nombre entier (secondes)).
iat toujours Heure à laquelle le jeton d'ID a été émis. Représenté en temps Unix (nombre entier (secondes).
iss toujours Identifiant de l'émetteur de la réponse. Toujours https://accounts.google.com ou accounts.google.com pour les jetons d'ID Google.
sub toujours Identifiant de l'utilisateur, unique parmi tous les comptes Google et jamais réutilisé. Un compte Google peut avoir plusieurs adresses e-mail à différents moments, mais la valeur sub n'est jamais modifiée. Utilisez sub dans votre application comme clé d'identifiant unique pour l'utilisateur. Longueur maximale de 255 caractères ASCII sensibles à la casse.
at_hash Hachage de jeton d'accès. Fournit une vérification que le jeton d'accès est lié au jeton d'identité. Si le jeton d'ID est émis avec une valeur access_token dans le flux du serveur, cette revendication est toujours incluse. Cette revendication peut servir de mécanisme secondaire pour se protéger des attaques par falsification de requêtes intersites. Toutefois, si vous suivez l'étape 1 et l'étape 3, vous n'avez pas besoin de vérifier le jeton d'accès.
azp client_id du présentateur autorisé. Cette revendication n'est nécessaire que lorsque la partie qui demande le jeton d'ID est différente de l'audience du jeton. Cela peut être le cas chez Google pour les applications hybrides où une application Web et une application Android ont un client_id OAuth 2.0 différent, mais partagent le même projet d'API Google.
email Adresse e-mail de l'utilisateur. Cette valeur peut ne pas être propre à cet utilisateur et ne convient pas en tant que clé primaire. Fourni uniquement si votre portée inclut la valeur de champ d'application email.
email_verified Vrai si l'adresse e-mail de l'utilisateur a été vérifiée ; sinon, false.
family_name Nom de famille de l'utilisateur. Peut être fourni lorsqu'une revendication name est présente.
given_name Noms ou prénoms de l'utilisateur. Peut être fourni lorsqu'une revendication name est présente.
hd Domaine associé à l'organisation Google Cloud de l'utilisateur. Fourni uniquement si l'utilisateur appartient à une organisation Google Cloud.
locale Paramètres régionaux de l'utilisateur, représentés par un tag de langue BCP 47. Peut être fourni lorsqu'une revendication name est présente.
name Nom complet de l'utilisateur, sous forme visible. Peut être fournie dans les cas suivants :
  • La portée inclut la chaîne "profile".
  • Le jeton d'ID est renvoyé par une actualisation du jeton

Lorsque des revendications name sont présentes, vous pouvez les utiliser pour mettre à jour les enregistrements utilisateur de votre application. Notez que cette garantie n'est jamais garantie.

nonce Valeur du nonce fourni par votre application dans la requête d'authentification. Vous devez appliquer une protection contre les attaques par rediffusion en vous assurant qu'elle n'est présentée qu'une seule fois.
picture URL de la photo de profil de l'utilisateur. Peut être fournie dans les cas suivants :
  • La portée inclut la chaîne "profile".
  • Le jeton d'ID est renvoyé par une actualisation du jeton

Lorsque des revendications picture sont présentes, vous pouvez les utiliser pour mettre à jour les enregistrements utilisateur de votre application. Notez que cette garantie n'est jamais garantie.

profile URL de la page de profil de l'utilisateur. Peut être fournie dans les cas suivants :
  • La portée inclut la chaîne "profile".
  • Le jeton d'ID est renvoyé par une actualisation du jeton

Lorsque des revendications profile sont présentes, vous pouvez les utiliser pour mettre à jour les enregistrements utilisateur de votre application. Notez que cette garantie n'est jamais garantie.

6. Authentifier l'utilisateur

Après avoir obtenu les informations utilisateur à partir du jeton d'ID, vous devez interroger la base de données utilisateur de votre application. Si l'utilisateur existe déjà dans votre base de données, vous devez démarrer une session d'application pour cet utilisateur si toutes les conditions de connexion sont satisfaites par la réponse de l'API Google.

Si l'utilisateur n'existe pas dans votre base de données utilisateur, vous devez le rediriger vers le processus d'inscription du nouvel utilisateur. Vous pourrez peut-être enregistrer automatiquement l'utilisateur en fonction des informations que vous recevrez de Google ou, au moins, vous pourrez renseigner la plupart des champs requis dans votre formulaire d'inscription. En plus des informations du jeton d'ID, vous pouvez obtenir des informations de profil utilisateur supplémentaires aux points de terminaison de votre profil utilisateur.

Sujets avancés

Les sections suivantes décrivent l'API Google OAuth 2.0 plus en détail. Ces informations sont destinées aux développeurs ayant des exigences avancées en matière d'authentification et d'autorisation.

Accès à d'autres API Google

L'un des avantages de l'authentification OAuth 2.0 est que votre application peut obtenir l'autorisation d'utiliser d'autres API Google au nom de l'utilisateur (YouTube, Google Drive, Agenda ou Contacts, par exemple) en même temps que vous authentifiez l'utilisateur. Pour ce faire, incluez les autres champs d'application dont vous avez besoin dans la requête d'authentification que vous envoyez à Google. Par exemple, pour ajouter la tranche d'âge de l'utilisateur à votre requête d'authentification, transmettez un paramètre de champ d'application défini sur openid email https://www.googleapis.com/auth/profile.agerange.read. L'utilisateur y est invité de manière appropriée sur l'écran de consentement. Le jeton d'accès que vous recevez de Google vous permet d'accéder à toutes les API liées aux champs d'application d'accès que vous avez demandés et qui vous ont été accordés.

Jetons d'actualisation

Dans votre demande d'accès à l'API, vous pouvez demander le renvoi d'un jeton d'actualisation lors de l'échange code. Un jeton d'actualisation fournit à votre application un accès continu aux API Google lorsque l'utilisateur n'est pas présent dans votre application. Pour demander un jeton d'actualisation, définissez le paramètre access_type sur offline dans votre requête d'authentification.

Remarques importantes :

  • Veillez à stocker le jeton d'actualisation de manière sécurisée et permanente, car vous ne pouvez en obtenir un que la première fois que vous exécutez le flux d'échange de code.
  • Le nombre de jetons d'actualisation émis est limité: une par client et par utilisateur, et une autre par utilisateur pour tous les clients. Si votre application demande trop de jetons d'actualisation, elle peut dépasser ces limites. Le cas échéant, les anciens jetons d'actualisation ne fonctionnent plus.

Pour en savoir plus, consultez la section Actualiser un jeton d'accès (accès hors connexion).

Vous pouvez inviter l'utilisateur à réautoriser votre application en définissant le paramètre prompt sur consent dans votre requête d'authentification. Lorsque prompt=consent est inclus, l'écran de consentement s'affiche chaque fois que votre application demande une autorisation pour les niveaux d'accès, même si tous les niveaux d'accès ont été précédemment accordés à votre projet d'API Google. Pour cette raison, n'incluez prompt=consent que si nécessaire.

Pour en savoir plus sur le paramètre prompt, consultez prompt dans le tableau Paramètres d'URI d'authentification.

Paramètres d'URI d'authentification

Le tableau suivant fournit une description plus complète des paramètres acceptés par l'API OAuth 2.0 d'authentification de Google.

Parameter Obligatoire Description
client_id (Obligatoire) Chaîne d'ID client obtenue à partir de API ConsoleCredentials page, comme décrit dans la section Obtenir des identifiants OAuth 2.0.
nonce (Obligatoire) Valeur aléatoire générée par votre application qui active la protection contre la relecture.
response_type (Obligatoire) Si la valeur est code, lance un flux de code d'autorisation de base, nécessitant un POST au point de terminaison du jeton pour obtenir les jetons. Si la valeur est token id_token ou id_token token, lance un flux implicite, ce qui nécessite d'utiliser JavaScript au niveau de l'URI de redirection pour récupérer les jetons à partir de l'identifiant #fragment de l'URI.
redirect_uri (Obligatoire) Détermine l'endroit où la réponse est envoyée. La valeur de ce paramètre doit correspondre exactement à l'une des valeurs de redirection autorisées que vous avez définies dans le champ API ConsoleCredentials page (y compris le schéma HTTP ou HTTPS, la casse et le caractère de fin &/39;, le cas échéant).
scope (Obligatoire)

Le paramètre de champ d'application doit commencer par la valeur openid, puis inclure la valeur profile, la valeur email ou les deux.

Si la valeur profile du champ d'application est présente, le jeton d'ID peut inclure (mais ce n'est pas garanti) les revendications profile par défaut de l'utilisateur.

Si la valeur du champ d'application email est présente, le jeton d'ID inclut les revendications email et email_verified.

En plus de ces champs d'application spécifiques à OpenID, votre argument de champ d'application peut inclure d'autres valeurs de champ d'application. Toutes les valeurs de champ d'application doivent être séparées par un espace. Par exemple, si vous souhaitez accéder à Google Drive par fichier, votre paramètre de champ d'application peut être openid profile email https://www.googleapis.com/auth/drive.file.

Pour en savoir plus sur les champs d'application disponibles, consultez la page Habilitations OAuth 2.0 pour les API Google ou la documentation de l'API Google que vous souhaitez utiliser.

state (Facultatif, mais vivement recommandé)

Chaîne opaque qui effectue un aller-retour dans le protocole. Autrement dit, elle est renvoyée sous la forme d'un paramètre URI dans le flux de base et dans l'identifiant #fragment de l'URI dans le flux implicite.

state peut être utile pour corréler les requêtes et les réponses. Comme redirect_uri peut être deviné, l'utilisation d'une valeur state peut renforcer l'assurance qu'une connexion entrante est le résultat d'une requête d'authentification lancée par votre application. Si vous générez une chaîne aléatoire ou encodez le hachage d'un état client (un cookie, par exemple) dans cette variable state, vous pouvez valider la réponse pour vous assurer que la requête et la réponse proviennent du même navigateur. Ce service fournit une protection contre les attaques telles que la falsification de requêtes intersites.

access_type (Facultatif) Les valeurs autorisées sont offline et online. L'effet est décrit dans la section Accès hors connexion. Si un jeton d'accès est demandé, le client ne reçoit pas de jeton d'actualisation, sauf si une valeur offline est spécifiée.
display (Facultatif) Valeur de chaîne ASCII pour spécifier comment le serveur d'autorisation affiche les pages d'authentification et d'autorisation de l'interface utilisateur. Les valeurs suivantes sont spécifiées et acceptées par les serveurs Google, mais n'ont aucune incidence sur son comportement : page, popup, touch et wap.
hd (Facultatif)

Simplifiez le processus de connexion pour les comptes appartenant à une organisation Google Cloud. En incluant le domaine de l'organisation Google Cloud (par exemple, mycollege.edu), vous pouvez indiquer que l'interface utilisateur de sélection de comptes doit être optimisée pour les comptes de ce domaine. Pour optimiser les comptes d'organisation Google Cloud plutôt qu'un seul domaine d'organisation Google Cloud, définissez la valeur d'un astérisque (*) : hd=*.

N'utilisez pas cette optimisation de l'interface utilisateur pour contrôler qui peut accéder à votre application, car les requêtes côté client peuvent être modifiées. Assurez-vous de vérifier que la valeur de la revendication hd du jeton d'ID renvoyé correspond à ce que vous attendiez (ex. : mycolledge.edu). Contrairement au paramètre de requête, la revendication de jeton d'ID hd est contenue dans un jeton de sécurité de Google. La valeur peut donc être approuvée.

include_granted_scopes (Facultatif) Si ce paramètre est fourni avec la valeur true et que la demande d'autorisation est accordée, l'autorisation inclut toutes les autorisations précédentes accordées à cette combinaison utilisateur/application pour d'autres niveaux d'accès. Consultez la section Autorisation incrémentielle.

Notez que vous ne pouvez pas effectuer d'autorisation incrémentielle avec le flux d'application installée.

login_hint (Facultatif) Lorsque votre application sait quel utilisateur tente d'authentifier le service, elle peut fournir ce paramètre pour transmettre au serveur d'authentification. Si vous transmettez cet indicateur, le sélecteur de compte sera supprimé et la zone d'adresse e-mail sera préremplie dans le formulaire de connexion, ou la session appropriée (si l'utilisateur utilise la connexion multicompte) sera sélectionnée, ce qui peut vous aider à éviter les problèmes si votre application se connecte au mauvais compte utilisateur. La valeur peut être une adresse e-mail ou la chaîne sub, soit l'équivalent de l'ID Google de l'utilisateur.
prompt (Facultatif) Liste de valeurs de chaîne séparées par un espace indiquant si le serveur d'autorisation invite l'utilisateur à se réauthentifier et à donner son consentement. Les valeurs possibles sont les suivantes :
  • none

    Le serveur d'autorisation n'affiche aucun écran d'authentification ou de consentement. Il renvoie une erreur si l'utilisateur n'est pas déjà authentifié et s'il n'a pas préconfiguré l'autorisation pour les champs d'application demandés. Vous pouvez utiliser none pour vérifier l'authentification et/ou le consentement existants.

  • consent

    Le serveur d'autorisation demande à l'utilisateur son consentement avant de renvoyer des informations au client.

  • select_account

    Le serveur d'autorisation invite l'utilisateur à sélectionner un compte utilisateur. Cela permet à un utilisateur disposant de plusieurs comptes sur le serveur d'autorisation de sélectionner l'un des comptes pour lesquels des sessions peuvent être en cours.

Si aucune valeur n'est spécifiée et que l'utilisateur n'a pas encore autorisé l'accès, un écran de consentement s'affiche.

Valider un jeton d'ID

Vous devez valider tous les jetons d'ID sur votre serveur, sauf si vous savez qu'ils proviennent directement de Google. Par exemple, votre serveur doit vérifier comme authentique tous les jetons d'ID qu'il reçoit de vos applications clientes.

Voici des situations courantes dans lesquelles vous pouvez envoyer des jetons d'ID à votre serveur:

  • Envoi de jetons d'ID avec des requêtes devant être authentifiées Les jetons d'ID vous indiquent l'utilisateur à l'origine de la requête et pour quel client ce jeton a été accordé.

Les jetons d'identification sont sensibles et peuvent être utilisés de manière abusive s'ils sont interceptés. Vous devez vous assurer que ces jetons sont gérés de manière sécurisée en ne les transmettant que via HTTPS et uniquement via les données POST ou dans les en-têtes de requête. Si vous stockez des jetons d'ID sur votre serveur, vous devez également les stocker de manière sécurisée.

Les jetons d'ID sont utiles, car ils peuvent être transmis entre différents composants de votre application. Ils peuvent utiliser un jeton d'ID comme mécanisme d'authentification léger pour authentifier l'application et l'utilisateur. Avant de pouvoir utiliser les informations du jeton d'ID ou vous appuyer dessus comme assertion que l'utilisateur s'est authentifié, vous devez les valider.

La validation d'un jeton d'identification nécessite plusieurs étapes:

  1. Vérifiez que le jeton d'ID est correctement signé par l'émetteur. Les jetons émis par Google sont signés à l'aide de l'un des certificats se trouvant à l'URI spécifié dans la valeur de métadonnées jwks_uri du document de découverte.
  2. Vérifiez que la valeur de la revendication iss dans le jeton d'ID est égale à https://accounts.google.com ou accounts.google.com.
  3. Vérifiez que la valeur de la revendication aud du jeton d'ID est égale à l'ID client de votre application.
  4. Vérifiez que le délai d'expiration (revendication exp) du jeton d'ID n'est pas encore dépassé.
  5. Si vous avez spécifié une valeur de paramètre HD dans la requête, vérifiez que le jeton d'ID possède une revendication hd correspondant à un domaine accepté associé à une organisation Google Cloud.

Les étapes 2 à 5 n'impliquent que des comparaisons de chaîne et de date qui sont assez simples. Nous ne les détaillerons donc pas ici.

La première étape est plus complexe et consiste à vérifier la signature cryptographique. À des fins de débogage, vous pouvez utiliser le point de terminaison tokeninfo de Google pour effectuer une comparaison avec le traitement en local mis en œuvre sur votre serveur ou votre appareil. Supposons que la valeur de votre jeton d'ID soit XYZ123. puis déréférencez l'URI https://oauth2.googleapis.com/tokeninfo?id_token=XYZ123. Si la signature du jeton est valide, la réponse serait la charge utile JWT sous sa forme d'objet JSON décodée.

Le point de terminaison tokeninfo est utile pour le débogage, mais à des fins de production, récupérez les clés publiques de Google à partir du point de terminaison des clés et effectuez la validation localement. Vous devez récupérer l'URI des clés du document de découverte à l'aide de la valeur de métadonnées jwks_uri. Les requêtes envoyées au point de terminaison de débogage peuvent être limitées ou faire l'objet d'erreurs intermittentes.

Comme Google ne modifie que rarement ses clés publiques, vous pouvez les mettre en cache à l'aide des directives de cache de la réponse HTTP et, dans la grande majorité des cas, effectuer une validation locale bien plus efficacement qu'avec le point de terminaison tokeninfo. Cette validation nécessite de récupérer et d'analyser les certificats, et d'effectuer les appels cryptographiques appropriés pour vérifier la signature. Heureusement, des bibliothèques bien débogées sont disponibles dans de nombreux langages (voir jwt.io).

Récupération des informations du profil utilisateur

Pour obtenir des informations de profil supplémentaires à propos de l'utilisateur, vous pouvez utiliser le jeton d'accès (que votre application reçoit lors du flux d'authentification) et la norme OpenID Connect:

  1. Pour être conforme à OpenID, vous devez inclure les valeurs de champ d'application openid profile dans votre requête d'authentification.

    Si vous souhaitez inclure l'adresse e-mail de l'utilisateur, vous pouvez spécifier une valeur de champ d'application supplémentaire : email. Pour spécifier profile et email, vous pouvez inclure le paramètre suivant dans l'URI de votre requête d'authentification:

    scope=openid%20profile%20email
  2. Ajoutez votre jeton d'accès à l'en-tête d'autorisation et envoyez une requête HTTPS GET au point de terminaison userinfo, que vous devez récupérer à partir du document de découverte à l'aide de la valeur de métadonnées userinfo_endpoint. La réponse userinfo inclut des informations sur l'utilisateur, comme décrit dans OpenID Connect Standard Claims et la valeur de métadonnées claims_supported du document de découverte. Les utilisateurs ou leurs organisations peuvent choisir de fournir ou de masquer certains champs. Par conséquent, vous ne recevrez peut-être pas d'informations pour chaque champ pour les niveaux d'accès autorisés.

Document Discovery

Le protocole OpenID Connect nécessite l'utilisation de plusieurs points de terminaison pour authentifier les utilisateurs et demander des ressources, y compris des jetons, des informations utilisateur et des clés publiques.

Pour simplifier les implémentations et gagner en flexibilité, OpenID Connect permet d'utiliser un document de découverte, un document JSON trouvé à un emplacement connu contenant des paires clé/valeur qui fournissent des détails sur la configuration du fournisseur OpenID Connect, y compris les URI des points de terminaison d'autorisation, de jeton, de révocation, d'utilisateur et de clé publique. Le document de découverte du service OpenID Connect de Google peut être récupéré depuis:

https://accounts.google.com/.well-known/openid-configuration

Pour utiliser les services OpenID Connect de Google, vous devez coder en dur l'URI du document de découverte (https://accounts.google.com/.well-known/openid-configuration) dans votre application. Votre application récupère le document, applique les règles de mise en cache dans la réponse, puis récupère les URI de point de terminaison si nécessaire. Par exemple, pour authentifier un utilisateur, votre code récupère la valeur de métadonnées authorization_endpoint (https://accounts.google.com/o/oauth2/v2/auth dans l'exemple ci-dessous) comme URI de base pour les requêtes d'authentification envoyées à Google.

Voici un exemple de ce type de document. Les noms des champs sont ceux spécifiés dans OpenID Connect Discovery 1.0 (pour connaître la signification de ce document, reportez-vous à ce document). Ces valeurs sont fournies à titre d'illustration uniquement. Il est possible qu'elles changent après avoir été copiées à partir d'une version récente du document Google Discovery:

{
  "issuer": "https://accounts.google.com",
  "authorization_endpoint": "https://accounts.google.com/o/oauth2/v2/auth",
  "device_authorization_endpoint": "https://oauth2.googleapis.com/device/code",
  "token_endpoint": "https://oauth2.googleapis.com/token",
  "userinfo_endpoint": "https://openidconnect.googleapis.com/v1/userinfo",
  "revocation_endpoint": "https://oauth2.googleapis.com/revoke",
  "jwks_uri": "https://www.googleapis.com/oauth2/v3/certs",
  "response_types_supported": [
    "code",
    "token",
    "id_token",
    "code token",
    "code id_token",
    "token id_token",
    "code token id_token",
    "none"
  ],
  "subject_types_supported": [
    "public"
  ],
  "id_token_signing_alg_values_supported": [
    "RS256"
  ],
  "scopes_supported": [
    "openid",
    "email",
    "profile"
  ],
  "token_endpoint_auth_methods_supported": [
    "client_secret_post",
    "client_secret_basic"
  ],
  "claims_supported": [
    "aud",
    "email",
    "email_verified",
    "exp",
    "family_name",
    "given_name",
    "iat",
    "iss",
    "locale",
    "name",
    "picture",
    "sub"
  ],
  "code_challenge_methods_supported": [
    "plain",
    "S256"
  ]
}

Vous pouvez peut-être éviter un aller-retour HTTP en mettant en cache les valeurs du document de découverte. Les en-têtes HTTP standards de mise en cache sont utilisés et doivent être respectés.

Bibliothèques clientes

Les bibliothèques clientes suivantes simplifient l'implémentation d'OAuth 2.0 en intégrant les frameworks les plus courants:

Conformité OpenID Connect

Le système d'authentification OAuth 2.0 de Google accepte les fonctionnalités requises de la spécification OpenID Connect Core. Tout client conçu pour fonctionner avec OpenID Connect doit pouvoir interagir avec ce service (à l'exception de l'objet de requête OpenID).