Autenticazione con un server di backend

Se utilizzi Accedi con Google su un'app o un sito che comunica con un server di backend, potresti dover identificare l'utente che ha eseguito l'accesso sul server. Per farlo in sicurezza, dopo che un utente ha eseguito l'accesso, invia il token ID dell'utente al tuo server utilizzando HTTPS. Quindi, sul server, verifica l'integrità del token ID e utilizza le informazioni utente contenute nel token per stabilire una sessione o creare un nuovo account.

Invia il token ID al tuo server

Innanzitutto, quando l'utente accede, recupera il suo token ID:

  1. Quando configuri Accedi con Google, chiama il metodo requestIdToken e trasmetti l'ID client web del tuo server.

    // Request only the user's ID token, which can be used to identify the
// user securely to your backend. This will contain the user's basic
// profile (name, profile picture URL, etc) so you should not need to
// make an additional call to personalize your application.
GoogleSignInOptions gso = new GoogleSignInOptions.Builder(GoogleSignInOptions.DEFAULT_SIGN_IN)
        .requestIdToken(getString(R.string.server_client_id))
        .requestEmail()
        .build();

  2. All'avvio della tua app, controlla se l'utente ha già eseguito l'accesso utilizzando Google, su questo dispositivo o su un altro dispositivo, chiamando il numero silentSignIn:

    GoogleSignIn.silentSignIn()
    .addOnCompleteListener(
        this,
        new OnCompleteListener<GoogleSignInAccount>() {
          @Override
          public void onComplete(@NonNull Task<GoogleSignInAccount> task) {
            handleSignInResult(task);
          }
        });

  3. Se l'utente non riesce ad accedere in modalità invisibile, presenta la normale esperienza senza eseguire l'accesso, dandogli la possibilità di accedere. Quando l'utente accede, mostra il valore GoogleSignInAccount dell'utente nel risultato dell'attività dell'intent di accesso:

    // This task is always completed immediately, there is no need to attach an
// asynchronous listener.
Task<GoogleSignInAccount> task = GoogleSignIn.getSignedInAccountFromIntent(data);
handleSignInResult(task);

  4. Dopo che l'utente ha eseguito l'accesso automaticamente o in modo esplicito, recupera il token ID dall'oggetto GoogleSignInAccount:

    private void handleSignInResult(@NonNull Task<GoogleSignInAccount> completedTask) {
    try {
        GoogleSignInAccount account = completedTask.getResult(ApiException.class);
        String idToken = account.getIdToken();

        // TODO(developer): send ID Token to server and validate

        updateUI(account);
    } catch (ApiException e) {
        Log.w(TAG, "handleSignInResult:error", e);
        updateUI(null);
    }
}

Quindi, invia il token ID al tuo server con una richiesta POST HTTPS:

HttpClient httpClient = new DefaultHttpClient();
HttpPost httpPost = new HttpPost("https://yourbackend.example.com/tokensignin");

try {
  List<NameValuePair> nameValuePairs = new ArrayList<NameValuePair>(1);
  nameValuePairs.add(new BasicNameValuePair("idToken", idToken));
  httpPost.setEntity(new UrlEncodedFormEntity(nameValuePairs));

  HttpResponse response = httpClient.execute(httpPost);
  int statusCode = response.getStatusLine().getStatusCode();
  final String responseBody = EntityUtils.toString(response.getEntity());
  Log.i(TAG, "Signed in as: " + responseBody);
} catch (ClientProtocolException e) {
  Log.e(TAG, "Error sending ID token to backend.", e);
} catch (IOException e) {
  Log.e(TAG, "Error sending ID token to backend.", e);
}

Verifica l'integrità del token ID

Dopo aver ricevuto il token ID tramite HTTPS POST, devi verificarne l'integrità.

Per verificare che il token sia valido, assicurati che siano soddisfatti i seguenti criteri:

  • Il token ID sia firmato correttamente da Google. Utilizza le chiavi pubbliche di Google (disponibili in formato JWK o PEM) per verificare la firma del token. Queste chiavi vengono ruotate regolarmente; esamina l'intestazione Cache-Control nella risposta per determinare quando devi recuperarle di nuovo.
  • Il valore di aud nel token ID è uguale a uno degli ID client della tua app. Questo controllo è necessario per impedire che i token ID emessi a un'app dannosa vengano utilizzati per accedere ai dati sullo stesso utente sul server di backend dell'app.
  • Il valore di iss nel token ID è uguale a accounts.google.com o https://accounts.google.com.
  • La scadenza (exp) del token ID non è trascorsa.
  • Se devi verificare che il token ID rappresenti un account Google Workspace o Cloud dell'organizzazione, puoi controllare la rivendicazione hd, che indica il dominio ospitato dell'utente. Questa opzione deve essere utilizzata per limitare l'accesso a una risorsa ai soli membri di determinati domini. L'assenza di questa rivendicazione indica che l'account non appartiene a un dominio ospitato da Google.

Anziché scrivere il tuo codice per eseguire questi passaggi di verifica, ti consigliamo vivamente di utilizzare una libreria client API di Google per la tua piattaforma o una libreria JWT generica. Per lo sviluppo e il debug, puoi chiamare il nostro endpoint di convalida tokeninfo.

Using a Google API Client Library

Using one of the Google API Client Libraries (e.g. Java, Node.js, PHP, Python) is the recommended way to validate Google ID tokens in a production environment.

Java

To validate an ID token in Java, use the GoogleIdTokenVerifier object. For example:

import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;

...

GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
    // Specify the CLIENT_ID of the app that accesses the backend:
    .setAudience(Collections.singletonList(CLIENT_ID))
    // Or, if multiple clients access the backend:
    //.setAudience(Arrays.asList(CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3))
    .build();

// (Receive idTokenString by HTTPS POST)

GoogleIdToken idToken = verifier.verify(idTokenString);
if (idToken != null) {
  Payload payload = idToken.getPayload();

  // Print user identifier
  String userId = payload.getSubject();
  System.out.println("User ID: " + userId);

  // Get profile information from payload
  String email = payload.getEmail();
  boolean emailVerified = Boolean.valueOf(payload.getEmailVerified());
  String name = (String) payload.get("name");
  String pictureUrl = (String) payload.get("picture");
  String locale = (String) payload.get("locale");
  String familyName = (String) payload.get("family_name");
  String givenName = (String) payload.get("given_name");

  // Use or store profile information
  // ...

} else {
  System.out.println("Invalid ID token.");
}

The GoogleIdTokenVerifier.verify() method verifies the JWT signature, the aud claim, the iss claim, and the exp claim.

If you need to validate that the ID token represents a Google Workspace or Cloud organization account, you can verify the hd claim by checking the domain name returned by the Payload.getHostedDomain() method. The domain of the email claim is insufficient to ensure that the account is managed by a domain or organization.

Node.js

To validate an ID token in Node.js, use the Google Auth Library for Node.js. Install the library: 

npm install google-auth-library --save
Then, call the verifyIdToken() function. For example:

const {OAuth2Client} = require('google-auth-library');
const client = new OAuth2Client();
async function verify() {
  const ticket = await client.verifyIdToken({
      idToken: token,
      audience: CLIENT_ID,  // Specify the CLIENT_ID of the app that accesses the backend
      // Or, if multiple clients access the backend:
      //[CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]
  });
  const payload = ticket.getPayload();
  const userid = payload['sub'];
  // If the request specified a Google Workspace domain:
  // const domain = payload['hd'];
}
verify().catch(console.error);

The verifyIdToken function verifies the JWT signature, the aud claim, the exp claim, and the iss claim.

If you need to validate that the ID token represents a Google Workspace or Cloud organization account, you can check the hd claim, which indicates the hosted domain of the user. This must be used when restricting access to a resource to only members of certain domains. The absence of this claim indicates that the account does not belong to a Google hosted domain.

PHP

To validate an ID token in PHP, use the Google API Client Library for PHP. Install the library (for example, using Composer): 

composer require google/apiclient
Then, call the verifyIdToken() function. For example:

require_once 'vendor/autoload.php';

// Get $id_token via HTTPS POST.

$client = new Google_Client(['client_id' => $CLIENT_ID]);  // Specify the CLIENT_ID of the app that accesses the backend
$payload = $client->verifyIdToken($id_token);
if ($payload) {
  $userid = $payload['sub'];
  // If the request specified a Google Workspace domain
  //$domain = $payload['hd'];
} else {
  // Invalid ID token
}

The verifyIdToken function verifies the JWT signature, the aud claim, the exp claim, and the iss claim.

If you need to validate that the ID token represents a Google Workspace or Cloud organization account, you can check the hd claim, which indicates the hosted domain of the user. This must be used when restricting access to a resource to only members of certain domains. The absence of this claim indicates that the account does not belong to a Google hosted domain.

Python

To validate an ID token in Python, use the verify_oauth2_token function. For example:

from google.oauth2 import id_token
from google.auth.transport import requests

# (Receive token by HTTPS POST)
# ...

try:
    # Specify the CLIENT_ID of the app that accesses the backend:
    idinfo = id_token.verify_oauth2_token(token, requests.Request(), CLIENT_ID)

    # Or, if multiple clients access the backend server:
    # idinfo = id_token.verify_oauth2_token(token, requests.Request())
    # if idinfo['aud'] not in [CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]:
    #     raise ValueError('Could not verify audience.')

    # If the request specified a Google Workspace domain
    # if idinfo['hd'] != DOMAIN_NAME:
    #     raise ValueError('Wrong domain name.')

    # ID token is valid. Get the user's Google Account ID from the decoded token.
    userid = idinfo['sub']
except ValueError:
    # Invalid token
    pass

The verify_oauth2_token function verifies the JWT signature, the aud claim, and the exp claim. You must also verify the hd claim (if applicable) by examining the object that verify_oauth2_token returns. If multiple clients access the backend server, also manually verify the aud claim.

Calling the tokeninfo endpoint

An easy way to validate an ID token signature for debugging is to use the tokeninfo endpoint. Calling this endpoint involves an additional network request that does most of the validation for you while you test proper validation and payload extraction in your own code. It is not suitable for use in production code as requests may be throttled or otherwise subject to intermittent errors.

To validate an ID token using the tokeninfo endpoint, make an HTTPS POST or GET request to the endpoint, and pass your ID token in the id_token parameter. For example, to validate the token "XYZ123", make the following GET request:

https://oauth2.googleapis.com/tokeninfo?id_token=XYZ123

If the token is properly signed and the iss and exp claims have the expected values, you will get a HTTP 200 response, where the body contains the JSON-formatted ID token claims. Here's an example response:

{
 // These six fields are included in all Google ID Tokens.
 "iss": "https://accounts.google.com",
 "sub": "110169484474386276334",
 "azp": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
 "aud": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
 "iat": "1433978353",
 "exp": "1433981953",

 // These seven fields are only included when the user has granted the "profile" and
 // "email" OAuth scopes to the application.
 "email": "testuser@gmail.com",
 "email_verified": "true",
 "name" : "Test User",
 "picture": "https://lh4.googleusercontent.com/-kYgzyAWpZzJ/ABCDEFGHI/AAAJKLMNOP/tIXL9Ir44LE/s99-c/photo.jpg",
 "given_name": "Test",
 "family_name": "User",
 "locale": "en"
}

If you need to validate that the ID token represents a Google Workspace account, you can check the hd claim, which indicates the hosted domain of the user. This must be used when restricting access to a resource to only members of certain domains. The absence of this claim indicates that the account does not belong to a Google Workspace hosted domain.

Creare un account o una sessione

Dopo aver verificato il token, controlla se l'utente si trova già nel tuo database utenti. In tal caso, stabilisci una sessione autenticata per l'utente. Se l'utente non è ancora presente nel tuo database utenti, crea un nuovo record utente dalle informazioni contenute nel payload del token ID e stabilisci una sessione per l'utente. Puoi richiedere all'utente eventuali informazioni del profilo aggiuntive di cui hai bisogno quando rilevi un nuovo utente nella tua app.

Proteggere gli account degli utenti con la Protezione su più account

Quando ti affidi a Google per accedere a un utente, beneficerai automaticamente di tutte le funzionalità e l'infrastruttura di sicurezza che Google ha creato per salvaguardare i dati dell'utente. Tuttavia, nell'improbabile caso che l'Account Google dell'utente venga compromesso o si verifichi un altro evento di sicurezza significativo, anche la tua app può essere vulnerabile agli attacchi. Per proteggere meglio i tuoi account dai principali eventi di sicurezza, utilizza la Protezione su più account per ricevere avvisi di sicurezza da Google. Quando ricevi questi eventi, hai visibilità sulle modifiche importanti apportate alla sicurezza dell'Account Google dell'utente e puoi quindi intervenire sul servizio per proteggere i tuoi account.