Wenn du Google Log-in mit einer App oder Website verwendest, die mit einem Back-End-Server kommuniziert, musst du möglicherweise den aktuell angemeldeten Nutzer auf dem Server identifizieren. Nachdem sich ein Nutzer erfolgreich angemeldet hat, sende zu diesem Zweck das ID-Token des Nutzers über HTTPS an deinen Server. Prüfen Sie dann auf dem Server die Integrität des ID-Tokens und verwenden Sie die im Token enthaltenen Nutzerinformationen, um eine Sitzung einzurichten oder ein neues Konto zu erstellen.
ID-Token an Server senden
Nachdem sich ein Nutzer erfolgreich angemeldet hat, rufen Sie das ID-Token des Nutzers ab:
Swift
GIDSignIn.sharedInstance.signIn(withPresenting: self) { signInResult, error in guard error == nil else { return } guard let signInResult = signInResult else { return } signInResult.user.refreshTokensIfNeeded { user, error in guard error == nil else { return } guard let user = user else { return } let idToken = user.idToken // Send ID token to backend (example below). } }
Objective-C
[GIDSignIn.sharedInstance signInWithPresentingViewController:self completion:^(GIDSignInResult * _Nullable signInResult, NSError * _Nullable error) { if (error) { return; } if (signInResult == nil) { return; } [signInResult.user refreshTokensIfNeededWithCompletion:^(GIDGoogleUser * _Nullable user, NSError * _Nullable error) { if (error) { return; } if (user == nil) { return; } NSString *idToken = user.idToken; // Send ID token to backend (example below). }]; }];
Senden Sie dann das ID-Token mit einer HTTPS-POST-Anfrage an Ihren Server:
Swift
func tokenSignInExample(idToken: String) { guard let authData = try? JSONEncoder().encode(["idToken": idToken]) else { return } let url = URL(string: "https://yourbackend.example.com/tokensignin")! var request = URLRequest(url: url) request.httpMethod = "POST" request.setValue("application/json", forHTTPHeaderField: "Content-Type") let task = URLSession.shared.uploadTask(with: request, from: authData) { data, response, error in // Handle response from your backend. } task.resume() }
Objective-C
NSString *signinEndpoint = @"https://yourbackend.example.com/tokensignin"; NSDictionary *params = @{@"idtoken": idToken}; NSMutableURLRequest *request = [NSMutableURLRequest requestWithURL:signinEndpoint]; [request setValue:@"application/x-www-form-urlencoded" forHTTPHeaderField:@"Content-Type"]; [request setHTTPMethod:@"POST"]; [request setHTTPBody:[self httpBodyForParamsDictionary:params]]; NSOperationQueue *queue = [[NSOperationQueue alloc] init]; [NSURLConnection sendAsynchronousRequest:request queue:queue completionHandler:^(NSURLResponse *response, NSData *data, NSError *error) { if (error) { NSLog(@"Error: %@", error.localizedDescription); } else { NSLog(@"Signed in as %@", data.bytes); } }];
Integrität des ID-Tokens prüfen
Nachdem Sie das ID-Token über HTTPS POST erhalten haben, müssen Sie die Integrität des Tokens prüfen.
To verify that the token is valid, ensure that the following criteria are satisfied:
- The ID token is properly signed by Google. Use Google's public keys
(available in
JWK or
PEM format)
to verify the token's signature. These keys are regularly rotated; examine
the
Cache-Control
header in the response to determine when you should retrieve them again. - The value of
aud
in the ID token is equal to one of your app's client IDs. This check is necessary to prevent ID tokens issued to a malicious app being used to access data about the same user on your app's backend server. - The value of
iss
in the ID token is equal toaccounts.google.com
orhttps://accounts.google.com
. - The expiry time (
exp
) of the ID token has not passed. - If you need to validate that the ID token represents a Google Workspace or Cloud
organization account, you can check the
hd
claim, which indicates the hosted domain of the user. This must be used when restricting access to a resource to only members of certain domains. The absence of this claim indicates that the account does not belong to a Google hosted domain.
Using the email
, email_verified
and hd
fields, you can determine if
Google hosts and is authoritative for an email address. In the cases where Google is authoritative,
the user is known to be the legitimate account owner, and you may skip password or other
challenge methods.
Cases where Google is authoritative:
email
has a@gmail.com
suffix, this is a Gmail account.email_verified
is true andhd
is set, this is a G Suite account.
Users may register for Google Accounts without using Gmail or G Suite. When
email
does not contain a @gmail.com
suffix and hd
is absent, Google is not
authoritative and password or other challenge methods are recommended to verify
the user. email_verified
can also be true as Google initially verified the
user when the Google account was created, however ownership of the third party
email account may have since changed.
Rather than writing your own code to perform these verification steps, we strongly
recommend using a Google API client library for your platform, or a general-purpose
JWT library. For development and debugging, you can call our tokeninfo
validation endpoint.
Google API-Clientbibliothek verwenden
Mit einer der Google API-Clientbibliotheken (z.B. Java Node.js PHP Python) wird empfohlen, um Google-ID-Tokens in einer Produktionsumgebung zu validieren.
<ph type="x-smartling-placeholder">Verwenden Sie zum Validieren eines ID-Tokens in Java die Methode GoogleIdTokenVerifier-Objekt. Beispiel:
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken; import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload; import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier; ... GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory) // Specify the CLIENT_ID of the app that accesses the backend: .setAudience(Collections.singletonList(CLIENT_ID)) // Or, if multiple clients access the backend: //.setAudience(Arrays.asList(CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3)) .build(); // (Receive idTokenString by HTTPS POST) GoogleIdToken idToken = verifier.verify(idTokenString); if (idToken != null) { Payload payload = idToken.getPayload(); // Print user identifier String userId = payload.getSubject(); System.out.println("User ID: " + userId); // Get profile information from payload String email = payload.getEmail(); boolean emailVerified = Boolean.valueOf(payload.getEmailVerified()); String name = (String) payload.get("name"); String pictureUrl = (String) payload.get("picture"); String locale = (String) payload.get("locale"); String familyName = (String) payload.get("family_name"); String givenName = (String) payload.get("given_name"); // Use or store profile information // ... } else { System.out.println("Invalid ID token."); }
Die Methode GoogleIdTokenVerifier.verify()
prüft das JWT
Signatur, aud
- und iss
-Anforderung und
exp
-Anspruch.
Wenn Sie prüfen müssen, ob das ID-Token für Google Workspace oder Cloud steht
Organisationskonto haben, können Sie die hd
-Beanspruchung bestätigen, indem Sie den Domainnamen überprüfen
Payload.getHostedDomain()
zurückgegeben. Die Domain der
Der Anspruch von email
reicht nicht aus, um sicherzustellen, dass das Konto von einer Domain verwaltet wird
oder einer Organisation.
Verwenden Sie die Google-Authentifizierungsbibliothek für Node.js, um ein ID-Token in Node.js zu validieren. Installieren Sie die Bibliothek:
npm install google-auth-library --saveRufen Sie dann die Funktion
verifyIdToken()
auf. Beispiel:
const {OAuth2Client} = require('google-auth-library'); const client = new OAuth2Client(); async function verify() { const ticket = await client.verifyIdToken({ idToken: token, audience: CLIENT_ID, // Specify the CLIENT_ID of the app that accesses the backend // Or, if multiple clients access the backend: //[CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3] }); const payload = ticket.getPayload(); const userid = payload['sub']; // If the request specified a Google Workspace domain: // const domain = payload['hd']; } verify().catch(console.error);
Mit der Funktion verifyIdToken
wird überprüft,
die JWT-Signatur, die aud
-Anforderung, die exp
-Anforderung
und die iss
-Behauptung.
Wenn Sie prüfen müssen, ob das ID-Token für Google Workspace oder Cloud steht
Unternehmenskonto haben, können Sie die hd
-Anforderung prüfen, die angibt,
Domain des Nutzers. Muss verwendet werden, wenn der Zugriff auf eine Ressource auf Mitglieder beschränkt wird
von bestimmten Domains. Das Fehlen dieses Anspruchs bedeutet, dass das Konto nicht zu
eine von Google gehostete Domain.
Um ein ID-Token in PHP zu validieren, verwenden Sie die Google API-Clientbibliothek für PHP. Installieren Sie die Bibliothek (z. B. mit Composer):
composer require google/apiclientRufen Sie dann die Funktion
verifyIdToken()
auf. Beispiel:
require_once 'vendor/autoload.php'; // Get $id_token via HTTPS POST. $client = new Google_Client(['client_id' => $CLIENT_ID]); // Specify the CLIENT_ID of the app that accesses the backend $payload = $client->verifyIdToken($id_token); if ($payload) { $userid = $payload['sub']; // If the request specified a Google Workspace domain //$domain = $payload['hd']; } else { // Invalid ID token }
Mit der Funktion verifyIdToken
wird überprüft,
die JWT-Signatur, die aud
-Anforderung, die exp
-Anforderung
und die iss
-Behauptung.
Wenn Sie prüfen müssen, ob das ID-Token für Google Workspace oder Cloud steht
Unternehmenskonto haben, können Sie die hd
-Anforderung prüfen, die angibt,
Domain des Nutzers. Muss verwendet werden, wenn der Zugriff auf eine Ressource auf Mitglieder beschränkt wird
von bestimmten Domains. Das Fehlen dieses Anspruchs bedeutet, dass das Konto nicht zu
eine von Google gehostete Domain.
Verwenden Sie zum Validieren eines ID-Tokens in Python die Methode verify_oauth2_token . Beispiel:
from google.oauth2 import id_token from google.auth.transport import requests # (Receive token by HTTPS POST) # ... try: # Specify the CLIENT_ID of the app that accesses the backend: idinfo = id_token.verify_oauth2_token(token, requests.Request(), CLIENT_ID) # Or, if multiple clients access the backend server: # idinfo = id_token.verify_oauth2_token(token, requests.Request()) # if idinfo['aud'] not in [CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]: # raise ValueError('Could not verify audience.') # If the request specified a Google Workspace domain # if idinfo['hd'] != DOMAIN_NAME: # raise ValueError('Wrong domain name.') # ID token is valid. Get the user's Google Account ID from the decoded token. userid = idinfo['sub'] except ValueError: # Invalid token pass
Die Funktion verify_oauth2_token
prüft das JWT
Signatur, aud
und exp
.
Sie müssen auch die hd
bestätigen
(falls zutreffend), indem wir das Objekt untersuchen,
verify_oauth2_token
kehrt zurück. Wenn mehrere Clients auf die
Backend-Server, auch die aud
-Anforderung manuell verifizieren.
Tokeninfo-Endpunkt aufrufen
Eine einfache Möglichkeit, die Signatur eines ID-Tokens für die Fehlerbehebung zu validieren, besteht darin,
Verwenden Sie den Endpunkt tokeninfo
. Zum Aufrufen dieses Endpunkts ist ein
zusätzliche Netzwerkanfrage, die die Validierung für Sie übernimmt, während Sie
Validierung und Nutzlastextraktion in Ihrem eigenen Code. Es ist nicht für die Verwendung in der Produktion geeignet.
da Anfragen gedrosselt werden oder anderweitig zu zeitweiligen Fehlern führen können.
Erstellen Sie ein HTTPS, um ein ID-Token mit dem Endpunkt tokeninfo
zu validieren
POST- oder GET-Anfrage an den Endpunkt und übergeben Sie Ihr ID-Token in der
id_token
-Parameter.
Um beispielsweise das Token „XYZ123“ zu validieren, stellen Sie die folgende GET-Anfrage:
https://oauth2.googleapis.com/tokeninfo?id_token=XYZ123
Wenn das Token ordnungsgemäß signiert ist und iss
und exp
Anforderungen die erwarteten Werte aufweisen, erhalten Sie eine HTTP 200-Antwort, in der der Text
enthält die ID-Token-Anforderungen im JSON-Format.
Sie sehen hier ein Beispiel:
{ // These six fields are included in all Google ID Tokens. "iss": "https://accounts.google.com", "sub": "110169484474386276334", "azp": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com", "aud": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com", "iat": "1433978353", "exp": "1433981953", // These seven fields are only included when the user has granted the "profile" and // "email" OAuth scopes to the application. "email": "testuser@gmail.com", "email_verified": "true", "name" : "Test User", "picture": "https://lh4.googleusercontent.com/-kYgzyAWpZzJ/ABCDEFGHI/AAAJKLMNOP/tIXL9Ir44LE/s99-c/photo.jpg", "given_name": "Test", "family_name": "User", "locale": "en" }
Wenn Sie überprüfen möchten, ob das ID-Token für ein Google Workspace-Konto steht, können Sie
Die hd
-Anforderung, die die gehostete Domain des Nutzers angibt. Muss verwendet werden, wenn
Sie können den Zugriff auf eine Ressource auf Mitglieder bestimmter Domains beschränken. Das Fehlen dieses Anspruchs
gibt an, dass das Konto nicht zu einer von Google Workspace gehosteten Domain gehört.
Konto oder Sitzung erstellen
Nachdem Sie das Token verifiziert haben, prüfen Sie, ob sich der Nutzer bereits in Ihrer Nutzerdatenbank befindet. Richten Sie in diesem Fall eine authentifizierte Sitzung für den Nutzer ein. Wenn sich der Nutzer noch nicht in Ihrer Nutzerdatenbank befindet, erstellen Sie aus den Informationen in der Nutzlast des ID-Tokens einen neuen Nutzerdatensatz und richten Sie eine Sitzung für den Nutzer ein. Sie können den Nutzer zur Eingabe zusätzlicher Profilinformationen auffordern, wenn Sie einen neu erstellten Nutzer in Ihrer Anwendung erkennen.
Nutzerkonten mit dem produktübergreifenden Kontoschutz schützen
Wenn Sie sich auf die Anmeldung eines Nutzers durch Google verlassen, profitieren Sie automatisch von allen Sicherheitsfunktionen und der Infrastruktur, die Google zum Schutz der Nutzerdaten entwickelt hat. Im unwahrscheinlichen Fall, dass das Google-Konto des Nutzers manipuliert wird oder ein anderes schwerwiegendes Sicherheitsereignis auftritt, kann Ihre Anwendung jedoch auch anfällig für Angriffe sein. Mit dem produktübergreifenden Kontoschutz können Sie Ihre Konten besser vor größeren Sicherheitsereignissen schützen und Sicherheitswarnungen von Google erhalten. Wenn Sie diese Ereignisse erhalten, erhalten Sie Einblick in wichtige Änderungen in Bezug auf die Sicherheit der Google-Konten des Nutzers und können dann Maßnahmen in Bezug auf Ihren Dienst ergreifen, um Ihre Konten zu schützen.