बैकएंड सर्वर से पुष्टि करें

अगर किसी ऐसे ऐप्लिकेशन या साइट के साथ 'Google साइन इन' का इस्तेमाल किया जाता है जो बैकएंड सर्वर के साथ कम्यूनिकेट करता है, तो आपको सर्वर पर साइन इन किए हुए मौजूदा उपयोगकर्ता की पहचान करनी पड़ सकती है. सुरक्षित तरीके से साइन इन करने के लिए, जब कोई उपयोगकर्ता साइन इन कर ले, तब एचटीटीपीएस का इस्तेमाल करके, अपने सर्वर पर उपयोगकर्ता का आईडी टोकन भेजें. इसके बाद, सर्वर पर इस बात की पुष्टि करें कि आईडी टोकन सही है या नहीं. साथ ही, सेशन बनाने या नया खाता बनाने के लिए, टोकन में मौजूद उपयोगकर्ता की जानकारी का इस्तेमाल करें.

अपने सर्वर पर आईडी टोकन भेजें

सबसे पहले, जब उपयोगकर्ता साइन इन करता है, तब उसका आईडी टोकन पाएं:

1. 'Google साइन इन' को कॉन्फ़िगर करने के बाद, requestIdToken तरीके को कॉल करें और इसे अपने सर्वर के वेब क्लाइंट आईडी के तौर पर पास करें.

   // Request only the user's ID token, which can be used to identify the
   // user securely to your backend. This will contain the user's basic
   // profile (name, profile picture URL, etc) so you should not need to
   // make an additional call to personalize your application.
   GoogleSignInOptions gso = new GoogleSignInOptions.Builder(GoogleSignInOptions.DEFAULT_SIGN_IN)
           .requestIdToken(getString(R.string.server_client_id))
           .requestEmail()
           .build();

2. ऐप्लिकेशन चालू होने पर, यह देखें कि क्या उपयोगकर्ता ने silentSignIn को कॉल करके, इस डिवाइस या किसी दूसरे डिवाइस पर Google का इस्तेमाल करके, पहले से ही आपके ऐप्लिकेशन में साइन इन कर लिया है:

   GoogleSignIn.silentSignIn()
       .addOnCompleteListener(
           this,
           new OnCompleteListener<GoogleSignInAccount>() {
             @Override
             public void onComplete(@NonNull Task<GoogleSignInAccount> task) {
               handleSignInResult(task);
             }
           });

3. अगर उपयोगकर्ता बिना सूचना के साइन इन नहीं कर सकता, तो उसे अपने खाते से साइन आउट करने का सामान्य तरीका दिखाएं. साथ ही, उसे साइन इन करने का विकल्प दें. जब उपयोगकर्ता साइन इन करता है, तो साइन-इन इंटेंट के गतिविधि नतीजे में उपयोगकर्ता का GoogleSignInAccount पाएं:

   // This task is always completed immediately, there is no need to attach an
   // asynchronous listener.
   Task<GoogleSignInAccount> task = GoogleSignIn.getSignedInAccountFromIntent(data);
   handleSignInResult(task);

4. जब उपयोगकर्ता चुपचाप या साफ़ तौर पर साइन इन करेगा, तब GoogleSignInAccount ऑब्जेक्ट से आईडी टोकन पाएं:

   private void handleSignInResult(@NonNull Task<GoogleSignInAccount> completedTask) {
       try {
           GoogleSignInAccount account = completedTask.getResult(ApiException.class);
           String idToken = account.getIdToken();
   
           // TODO(developer): send ID Token to server and validate
   
           updateUI(account);
       } catch (ApiException e) {
           Log.w(TAG, "handleSignInResult:error", e);
           updateUI(null);
       }
   }

इसके बाद, एचटीटीपीएस पोस्ट अनुरोध के साथ अपने सर्वर पर आईडी टोकन भेजें:

HttpClient httpClient = new DefaultHttpClient();
HttpPost httpPost = new HttpPost("https://yourbackend.example.com/tokensignin");

try {
  List<NameValuePair> nameValuePairs = new ArrayList<NameValuePair>(1);
  nameValuePairs.add(new BasicNameValuePair("idToken", idToken));
  httpPost.setEntity(new UrlEncodedFormEntity(nameValuePairs));

  HttpResponse response = httpClient.execute(httpPost);
  int statusCode = response.getStatusLine().getStatusCode();
  final String responseBody = EntityUtils.toString(response.getEntity());
  Log.i(TAG, "Signed in as: " + responseBody);
} catch (ClientProtocolException e) {
  Log.e(TAG, "Error sending ID token to backend.", e);
} catch (IOException e) {
  Log.e(TAG, "Error sending ID token to backend.", e);
}

पुष्टि करना कि आईडी टोकन सही है या नहीं

एचटीटीपीएस POST से आईडी टोकन मिलने के बाद, आपको इसकी पुष्टि करनी होगी कि टोकन सही है या नहीं.

टोकन मान्य है, इसकी पुष्टि करने के लिए, पक्का करें कि: शर्तें पूरी की हैं:

• Google ने आईडी टोकन पर सही तरीके से हस्ताक्षर किया है. Google की सार्वजनिक कुंजियों का इस्तेमाल करें (इसमें उपलब्ध है JWK या PEM फ़ॉर्मैट) टोकन के हस्ताक्षर की पुष्टि करने के लिए. ये बटन नियमित रूप से घुमाए जाते हैं; जांच करें जवाब में Cache-Control हेडर, ताकि यह तय किया जा सके कि कब तो आपको उन्हें फिर से वापस लाना होगा.
• आईडी टोकन में aud की वैल्यू, आपके ऐप्लिकेशन की वैल्यू के बराबर है क्लाइंट आईडी. नुकसान पहुंचाने वाले मैलवेयर को जारी किए गए आईडी टोकन को रोकने के लिए यह जांच करना ज़रूरी है ऐप्लिकेशन का इस्तेमाल, आपके ऐप्लिकेशन के बैकएंड सर्वर पर उसी उपयोगकर्ता का डेटा ऐक्सेस करने के लिए किया जा रहा हो.
• आईडी टोकन में iss की वैल्यू इसके बराबर है accounts.google.com या https://accounts.google.com.
• आईडी टोकन की समयसीमा खत्म होने का समय (exp) नहीं हुआ है.
• अगर आपको इस बात की पुष्टि करनी है कि आईडी टोकन, Google Workspace या Cloud से जुड़ा है या नहीं तो आप hd दावे की जांच कर सकते हैं. इससे पता चलता है कि उपयोगकर्ता के डोमेन के साथ काम करता है. इसका इस्तेमाल तब किया जाना चाहिए, जब किसी संसाधन का ऐक्सेस सिर्फ़ इसके सदस्यों तक सीमित रखा गया हो कुछ डोमेन. इस दावे के मौजूद न होने का मतलब है कि यह खाता किसी Google की ओर से होस्ट किया गया डोमेन.

email, email_verified, और hd फ़ील्ड का इस्तेमाल करके, यह पता लगाया जा सकता है कि ईमेल पते को Google होस्ट करता है और आधिकारिक तौर पर उपलब्ध कराता है. ऐसे मामलों में जहां Google आधिकारिक है, वह उपयोगकर्ता उस खाते का वैध स्वामी है और आप पासवर्ड या अन्य विकल्प चैलेंज के तरीके.

ऐसे मामले, जिनमें Google आधिकारिक जानकारी देता है:

• email में @gmail.com सफ़िक्स लगा है. यह Gmail खाता है.
• email_verified सही है और hd सेट है, यह एक G Suite खाता है.

उपयोगकर्ता, Gmail या G Suite का इस्तेमाल किए बिना Google खातों के लिए रजिस्टर कर सकते हैं. टास्क कब शुरू होगा email में @gmail.com सफ़िक्स नहीं है और hd मौजूद नहीं है, Google पुष्टि करने के लिए, भरोसेमंद और पासवर्ड या अन्य चैलेंज वाले तरीकों का इस्तेमाल करने का सुझाव दिया जाता है उपयोगकर्ता है. email_verified भी सही हो सकती है, क्योंकि Google ने शुरुआत में Google खाता बनाए जाने के समय उपयोगकर्ता, हालांकि तीसरे पक्ष का मालिकाना हक शायद उसके बाद ईमेल खाता बदल गया है.

पुष्टि करने के इन चरणों को पूरा करने के लिए, अपना कोड लिखने के बजाय हम इस बात पर ज़ोर देते हैं अपने प्लैटफ़ॉर्म या किसी सामान्य मक़सद के लिए, Google API क्लाइंट लाइब्रेरी का इस्तेमाल करने का सुझाव दिया जाता है JWT लाइब्रेरी. डेवलपमेंट और डीबग करने के लिए, हमारे tokeninfo पर कॉल करें पुष्टि करने वाला एंडपॉइंट.

Google API क्लाइंट लाइब्रेरी का इस्तेमाल करना

प्रोडक्शन एनवायरमेंट में, Google आईडी टोकन की पुष्टि करने के लिए, Google API क्लाइंट लाइब्रेरी में से किसी एक का इस्तेमाल करने का सुझाव दिया जाता है. जैसे, Java, Node.js, PHP, Python.

import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;

...

GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
    // Specify the CLIENT_ID of the app that accesses the backend:
    .setAudience(Collections.singletonList(CLIENT_ID))
    // Or, if multiple clients access the backend:
    //.setAudience(Arrays.asList(CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3))
    .build();

// (Receive idTokenString by HTTPS POST)

GoogleIdToken idToken = verifier.verify(idTokenString);
if (idToken != null) {
  Payload payload = idToken.getPayload();

  // Print user identifier
  String userId = payload.getSubject();
  System.out.println("User ID: " + userId);

  // Get profile information from payload
  String email = payload.getEmail();
  boolean emailVerified = Boolean.valueOf(payload.getEmailVerified());
  String name = (String) payload.get("name");
  String pictureUrl = (String) payload.get("picture");
  String locale = (String) payload.get("locale");
  String familyName = (String) payload.get("family_name");
  String givenName = (String) payload.get("given_name");

  // Use or store profile information
  // ...

} else {
  System.out.println("Invalid ID token.");
}

npm install google-auth-library --save

const {OAuth2Client} = require('google-auth-library');
const client = new OAuth2Client();
async function verify() {
  const ticket = await client.verifyIdToken({
      idToken: token,
      audience: CLIENT_ID,  // Specify the CLIENT_ID of the app that accesses the backend
      // Or, if multiple clients access the backend:
      //[CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]
  });
  const payload = ticket.getPayload();
  const userid = payload['sub'];
  // If the request specified a Google Workspace domain:
  // const domain = payload['hd'];
}
verify().catch(console.error);

composer require google/apiclient

require_once 'vendor/autoload.php';

// Get $id_token via HTTPS POST.

$client = new Google_Client(['client_id' => $CLIENT_ID]);  // Specify the CLIENT_ID of the app that accesses the backend
$payload = $client->verifyIdToken($id_token);
if ($payload) {
  $userid = $payload['sub'];
  // If the request specified a Google Workspace domain
  //$domain = $payload['hd'];
} else {
  // Invalid ID token
}

from google.oauth2 import id_token
from google.auth.transport import requests

# (Receive token by HTTPS POST)
# ...

try:
    # Specify the CLIENT_ID of the app that accesses the backend:
    idinfo = id_token.verify_oauth2_token(token, requests.Request(), CLIENT_ID)

    # Or, if multiple clients access the backend server:
    # idinfo = id_token.verify_oauth2_token(token, requests.Request())
    # if idinfo['aud'] not in [CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]:
    #     raise ValueError('Could not verify audience.')

    # If the request specified a Google Workspace domain
    # if idinfo['hd'] != DOMAIN_NAME:
    #     raise ValueError('Wrong domain name.')

    # ID token is valid. Get the user's Google Account ID from the decoded token.
    userid = idinfo['sub']
except ValueError:
    # Invalid token
    pass

Calling the tokeninfo endpoint

An easy way to validate an ID token signature for debugging is to use the tokeninfo endpoint. Calling this endpoint involves an additional network request that does most of the validation for you while you test proper validation and payload extraction in your own code. It is not suitable for use in production code as requests may be throttled or otherwise subject to intermittent errors.

To validate an ID token using the tokeninfo endpoint, make an HTTPS POST or GET request to the endpoint, and pass your ID token in the id_token parameter. For example, to validate the token "XYZ123", make the following GET request:

https://oauth2.googleapis.com/tokeninfo?id_token=XYZ123

If the token is properly signed and the iss and exp claims have the expected values, you will get a HTTP 200 response, where the body contains the JSON-formatted ID token claims. Here's an example response:

{
 // These six fields are included in all Google ID Tokens.
 "iss": "https://accounts.google.com",
 "sub": "110169484474386276334",
 "azp": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
 "aud": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
 "iat": "1433978353",
 "exp": "1433981953",

 // These seven fields are only included when the user has granted the "profile" and
 // "email" OAuth scopes to the application.
 "email": "testuser@gmail.com",
 "email_verified": "true",
 "name" : "Test User",
 "picture": "https://lh4.googleusercontent.com/-kYgzyAWpZzJ/ABCDEFGHI/AAAJKLMNOP/tIXL9Ir44LE/s99-c/photo.jpg",
 "given_name": "Test",
 "family_name": "User",
 "locale": "en"
}

If you need to validate that the ID token represents a Google Workspace account, you can check the hd claim, which indicates the hosted domain of the user. This must be used when restricting access to a resource to only members of certain domains. The absence of this claim indicates that the account does not belong to a Google Workspace hosted domain.

खाता या सेशन बनाएं

टोकन की पुष्टि करने के बाद, देखें कि उपयोगकर्ता पहले से आपके उपयोगकर्ता डेटाबेस में है या नहीं. अगर हां, तो उपयोगकर्ता के लिए एक पुष्टि किया गया सेशन तय करें. अगर उपयोगकर्ता अब तक आपके उपयोगकर्ता डेटाबेस में नहीं है, तो आईडी टोकन पेलोड की जानकारी से एक नया उपयोगकर्ता रिकॉर्ड बनाएं और उपयोगकर्ता के लिए एक सेशन बनाएं. अगर आपको अपने ऐप्लिकेशन में किसी नए उपयोगकर्ता का पता चलता है, तो उपयोगकर्ता को प्रोफ़ाइल से जुड़ी ऐसी अतिरिक्त जानकारी देने के लिए कहा जा सकता है जिसकी ज़रूरत हो.

'सभी खातों की सुरक्षा' सुविधा की मदद से उपयोगकर्ताओं के खातों को सुरक्षित रखना

अगर किसी उपयोगकर्ता के खाते में साइन इन करने के लिए Google पर भरोसा किया जाता है, तो आपको अपने-आप उन सभी सुरक्षा सुविधाओं और इन्फ़्रास्ट्रक्चर का फ़ायदा मिलेगा जिन्हें Google ने, उपयोगकर्ता के डेटा की सुरक्षा के लिए बनाया है. हालांकि, अगर उपयोगकर्ता के Google खाते से छेड़छाड़ होने की कोई संभावना नहीं है या सुरक्षा से जुड़ी किसी दूसरी अहम गतिविधि का पता चलता है, तो आपके ऐप्लिकेशन पर हमले का खतरा भी हो सकता है. अपने खातों को सुरक्षा से जुड़ी किसी भी बड़ी गतिविधि से बचाने के लिए, सभी खातों की सुरक्षा सुविधा का इस्तेमाल करें. इससे आपको Google से सुरक्षा से जुड़ी चेतावनियां मिलती हैं. इस तरह के इवेंट मिलने पर, आपको उपयोगकर्ता के Google खाते की सुरक्षा से जुड़े अहम बदलावों की जानकारी मिलती है. इसके बाद, अपने खातों को सुरक्षित रखने के लिए अपनी सेवा पर कार्रवाई की जा सकती है.