אם משתמשים בכניסה באמצעות חשבון Google דרך אפליקציה או אתר שמתקשרים עם שרת קצה עורפי, ייתכן שתצטרכו לזהות את המשתמש שמחובר כרגע בשרת. כדי לעשות זאת באופן מאובטח, אחרי שמשתמש נכנס בהצלחה, צריך לשלוח את האסימון המזהה של המשתמש לשרת שלך באמצעות HTTPS. לאחר מכן, צריך לוודא בשרת את תקינות האסימון המזהה ולהשתמש בפרטי המשתמש שנכללים באסימון כדי ליצור סשן או ליצור חשבון חדש.
שליחת האסימון המזהה לשרת שלכם
אחרי שמשתמש נכנס בהצלחה, מקבלים את האסימון המזהה של המשתמש:
Swift
GIDSignIn.sharedInstance.signIn(withPresenting: self) { signInResult, error in
guard error == nil else { return }
guard let signInResult = signInResult else { return }
signInResult.user.refreshTokensIfNeeded { user, error in
guard error == nil else { return }
guard let user = user else { return }
let idToken = user.idToken
// Send ID token to backend (example below).
}
}
Objective-C
[GIDSignIn.sharedInstance signInWithPresentingViewController:self
completion:^(GIDSignInResult * _Nullable signInResult,
NSError * _Nullable error) {
if (error) { return; }
if (signInResult == nil) { return; }
[signInResult.user refreshTokensIfNeededWithCompletion:^(GIDGoogleUser * _Nullable user,
NSError * _Nullable error) {
if (error) { return; }
if (user == nil) { return; }
NSString *idToken = user.idToken;
// Send ID token to backend (example below).
}];
}];
לאחר מכן, שולחים את האסימון המזהה לשרת באמצעות בקשת HTTPS POST:
Swift
func tokenSignInExample(idToken: String) {
guard let authData = try? JSONEncoder().encode(["idToken": idToken]) else {
return
}
let url = URL(string: "https://yourbackend.example.com/tokensignin")!
var request = URLRequest(url: url)
request.httpMethod = "POST"
request.setValue("application/json", forHTTPHeaderField: "Content-Type")
let task = URLSession.shared.uploadTask(with: request, from: authData) { data, response, error in
// Handle response from your backend.
}
task.resume()
}
Objective-C
NSString *signinEndpoint = @"https://yourbackend.example.com/tokensignin";
NSDictionary *params = @{@"idtoken": idToken};
NSMutableURLRequest *request = [NSMutableURLRequest requestWithURL:signinEndpoint];
[request setValue:@"application/x-www-form-urlencoded" forHTTPHeaderField:@"Content-Type"];
[request setHTTPMethod:@"POST"];
[request setHTTPBody:[self httpBodyForParamsDictionary:params]];
NSOperationQueue *queue = [[NSOperationQueue alloc] init];
[NSURLConnection sendAsynchronousRequest:request
queue:queue
completionHandler:^(NSURLResponse *response, NSData *data, NSError *error) {
if (error) {
NSLog(@"Error: %@", error.localizedDescription);
} else {
NSLog(@"Signed in as %@", data.bytes);
}
}];
אימות התקינות של האסימון המזהה
אחרי שהאסימון המזהה מתקבל באמצעות HTTPS POST, צריך לאמת את תקינות האסימון.
כדי לוודא שהאסימון חוקי, צריך לוודא את הפרטים הבאים קריטריונים:
- האסימון המזהה חתום כראוי על ידי Google. שימוש במפתחות הציבוריים של Google
(זמין ב:
JWK או
פורמט PEM)
כדי לאמת את החתימה של האסימון. המפתחות האלה עוברים רוטציה באופן קבוע. בדיקה
הכותרת
Cache-Controlבתגובה כדי לקבוע מתי צריך לאחזר אותן שוב. - הערך של
audבאסימון המזהה שווה לאחד מהערכים של האפליקציה מזהי לקוח. הבדיקה הזו נחוצה כדי למנוע אסימונים מזהים שהונפקו על ידי תוכנה זדונית שמשמשות לגישה לנתונים על אותו משתמש בשרת הקצה העורפי של האפליקציה. - הערך של
issבאסימון המזהה שווה ל-accounts.google.comאוhttps://accounts.google.com. - מועד התפוגה (
exp) של האסימון המזהה לא עבר. - אם אתם צריכים לאמת שהאסימון המזהה מייצג Google Workspace או Cloud
חשבון ארגוני, אפשר לבדוק את ההצהרה
hd, שמציינת את המארח הדומיין של המשתמש. צריך להשתמש באפשרות הזו כשמגבילים את הגישה למשאב רק לחברים בדומיין דומיינים מסוימים. היעדר תביעה זו מצביע על כך שהחשבון לא שייך דומיין באירוח Google.
באמצעות השדות email, email_verified ו-hd אפשר לקבוע אם
Google מארחת כתובת אימייל מסוימת, והיא מהימן. במקרים שבהם Google היא גורם מוסמך,
ידוע שהמשתמש הוא הבעלים החוקיים של החשבון, תוכל לדלג על הזנת סיסמה
שיטות לאתגר.
מקרים שבהם Google היא מהימן:
- ל-
emailיש סיומת@gmail.com. זהו חשבון Gmail. email_verifiedמוגדר כ-True ו-hdמוגדר. זהו חשבון G Suite.
משתמשים יכולים להירשם לחשבונות Google בלי להשתמש ב-Gmail או ב-G Suite. מתי
email לא מכיל סיומת @gmail.com ו-hd חסר, Google אינה
מומלץ לאמת סיסמה או סיסמה או שיטות אחרות לאימות
למשתמש. email_verified יכול להיות גם נכון כי Google אימתה בהתחלה את
משתמש כשחשבון Google נוצר, אבל בעלות על הצד השלישי
ייתכן שחשבון האימייל השתנה מאז.
במקום לכתוב קוד משלכם כדי לבצע את שלבי האימות האלה, אנחנו ממליצים
מומלץ להשתמש בספריית לקוח של Google API עבור הפלטפורמה שלך, או לשימוש כללי
JWT. לצורכי פיתוח וניפוי באגים, אפשר להתקשר אל tokeninfo
נקודת קצה לאימות.
שימוש בספריית לקוח של Google API
באמצעות אחת מספריות הלקוח של Google API (למשל, Java, Node.js, PHP, Python) היא הדרך המומלצת לאימות אסימונים מזהים של Google בסביבת הייצור.
כדי לאמת אסימון מזהה ב-Java, משתמשים ב אובייקט GoogleIdTokenVerifier. לדוגמה:
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;
...
GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
// Specify the CLIENT_ID of the app that accesses the backend:
.setAudience(Collections.singletonList(CLIENT_ID))
// Or, if multiple clients access the backend:
//.setAudience(Arrays.asList(CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3))
.build();
// (Receive idTokenString by HTTPS POST)
GoogleIdToken idToken = verifier.verify(idTokenString);
if (idToken != null) {
Payload payload = idToken.getPayload();
// Print user identifier
String userId = payload.getSubject();
System.out.println("User ID: " + userId);
// Get profile information from payload
String email = payload.getEmail();
boolean emailVerified = Boolean.valueOf(payload.getEmailVerified());
String name = (String) payload.get("name");
String pictureUrl = (String) payload.get("picture");
String locale = (String) payload.get("locale");
String familyName = (String) payload.get("family_name");
String givenName = (String) payload.get("given_name");
// Use or store profile information
// ...
} else {
System.out.println("Invalid ID token.");
}
השיטה GoogleIdTokenVerifier.verify() מאמתת את ה-JWT
החתימה, ההצהרה aud, ההצהרה iss ו
תלונה exp.
אם אתם צריכים לאמת שהאסימון המזהה מייצג Google Workspace או Cloud
חשבון ארגוני, אפשר לאמת את הצהרת הזמן לתפוגה hd על ידי בדיקת שם הדומיין
שהוחזרו באמצעות השיטה Payload.getHostedDomain(). הדומיין של
תלונה אחת (email) לא מספיקה כדי לוודא שהחשבון מנוהל על ידי דומיין
או לארגון.
כדי לאמת אסימון מזהה ב-Node.js, משתמשים בספריית Google Auth ל-Node.js. מתקינים את הספרייה:
npm install google-auth-library --saveלאחר מכן קוראים לפונקציה
verifyIdToken(). לדוגמה:
const {OAuth2Client} = require('google-auth-library');
const client = new OAuth2Client();
async function verify() {
const ticket = await client.verifyIdToken({
idToken: token,
audience: CLIENT_ID, // Specify the CLIENT_ID of the app that accesses the backend
// Or, if multiple clients access the backend:
//[CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]
});
const payload = ticket.getPayload();
const userid = payload['sub'];
// If the request specified a Google Workspace domain:
// const domain = payload['hd'];
}
verify().catch(console.error);
הפונקציה verifyIdToken מאמתת
חתימת ה-JWT, הצהרת aud, ההצהרה exp,
להצהרה iss.
אם אתם צריכים לאמת שהאסימון המזהה מייצג Google Workspace או Cloud
חשבון ארגוני, אפשר לבדוק את ההצהרה hd, שמציינת את המארח
הדומיין של המשתמש. צריך להשתמש באפשרות הזו כשמגבילים את הגישה למשאב רק לחברים
של דומיינים מסוימים. היעדר תביעה זו מצביע על כך שהחשבון לא שייך ל-
דומיין באירוח Google.
כדי לאמת אסימון מזהה ב-PHP, משתמשים בספריית הלקוח של Google API ל-PHP. מתקינים את הספרייה (לדוגמה באמצעות Composer):
composer require google/apiclientלאחר מכן קוראים לפונקציה
verifyIdToken(). לדוגמה:
require_once 'vendor/autoload.php';
// Get $id_token via HTTPS POST.
$client = new Google_Client(['client_id' => $CLIENT_ID]); // Specify the CLIENT_ID of the app that accesses the backend
$payload = $client->verifyIdToken($id_token);
if ($payload) {
$userid = $payload['sub'];
// If the request specified a Google Workspace domain
//$domain = $payload['hd'];
} else {
// Invalid ID token
}
הפונקציה verifyIdToken מאמתת
חתימת ה-JWT, הצהרת aud, ההצהרה exp,
להצהרה iss.
אם אתם צריכים לאמת שהאסימון המזהה מייצג Google Workspace או Cloud
חשבון ארגוני, אפשר לבדוק את ההצהרה hd, שמציינת את המארח
הדומיין של המשתמש. צריך להשתמש באפשרות הזו כשמגבילים את הגישה למשאב רק לחברים
של דומיינים מסוימים. היעדר תביעה זו מצביע על כך שהחשבון לא שייך ל-
דומיין באירוח Google.
כדי לאמת אסימון מזהה ב-Python, משתמשים ב verify_oauth2_token מותאמת אישית. לדוגמה:
from google.oauth2 import id_token
from google.auth.transport import requests
# (Receive token by HTTPS POST)
# ...
try:
# Specify the CLIENT_ID of the app that accesses the backend:
idinfo = id_token.verify_oauth2_token(token, requests.Request(), CLIENT_ID)
# Or, if multiple clients access the backend server:
# idinfo = id_token.verify_oauth2_token(token, requests.Request())
# if idinfo['aud'] not in [CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]:
# raise ValueError('Could not verify audience.')
# If the request specified a Google Workspace domain
# if idinfo['hd'] != DOMAIN_NAME:
# raise ValueError('Wrong domain name.')
# ID token is valid. Get the user's Google Account ID from the decoded token.
userid = idinfo['sub']
except ValueError:
# Invalid token
pass
הפונקציה verify_oauth2_token מאמתת את ה-JWT
חתימה, הצהרת aud וההצהרה exp.
צריך לאמת גם את hd
(אם רלוונטי) על ידי בחינת האובייקט
אפשרות החזרה במחיר verify_oauth2_token. אם מספר לקוחות ניגשים אל
שרת הקצה העורפי, צריך גם לאמת באופן ידני את ההצהרה aud.
Calling the tokeninfo endpoint
An easy way to validate an ID token signature for debugging is to
use the tokeninfo endpoint. Calling this endpoint involves an
additional network request that does most of the validation for you while you test proper
validation and payload extraction in your own code. It is not suitable for use in production
code as requests may be throttled or otherwise subject to intermittent errors.
To validate an ID token using the tokeninfo endpoint, make an HTTPS
POST or GET request to the endpoint, and pass your ID token in the
id_token parameter.
For example, to validate the token "XYZ123", make the following GET request:
https://oauth2.googleapis.com/tokeninfo?id_token=XYZ123
If the token is properly signed and the iss and exp
claims have the expected values, you will get a HTTP 200 response, where the body
contains the JSON-formatted ID token claims.
Here's an example response:
{
// These six fields are included in all Google ID Tokens.
"iss": "https://accounts.google.com",
"sub": "110169484474386276334",
"azp": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
"aud": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
"iat": "1433978353",
"exp": "1433981953",
// These seven fields are only included when the user has granted the "profile" and
// "email" OAuth scopes to the application.
"email": "testuser@gmail.com",
"email_verified": "true",
"name" : "Test User",
"picture": "https://lh4.googleusercontent.com/-kYgzyAWpZzJ/ABCDEFGHI/AAAJKLMNOP/tIXL9Ir44LE/s99-c/photo.jpg",
"given_name": "Test",
"family_name": "User",
"locale": "en"
}If you need to validate that the ID token represents a Google Workspace account, you can check
the hd claim, which indicates the hosted domain of the user. This must be used when
restricting access to a resource to only members of certain domains. The absence of this claim
indicates that the account does not belong to a Google Workspace hosted domain.
יצירת חשבון או סשן
אחרי אימות האסימון, צריך לבדוק אם המשתמש כבר נמצא במסד הנתונים של המשתמשים. במקרה כזה, יש ליצור סשן מאומת עבור המשתמש. אם המשתמש עדיין לא נמצא במסד הנתונים של המשתמשים, צריך ליצור רשומת משתמש חדשה מהמידע שבמטען הייעודי (payload) של אסימון המזהה וליצור סשן למשתמש הזה. כשמאתרים משתמש חדש שנוצר באפליקציה, אפשר לבקש מהמשתמש את כל פרטי הפרופיל הנוספים הנדרשים.
אבטחת חשבונות המשתמשים באמצעות הגנה על חשבונות שונים
כשמסתמכים על Google לצורך כניסה של משתמש, נהנים באופן אוטומטי מכל תכונות האבטחה והתשתית ש-Google יצרה כדי להגן על נתוני המשתמש. עם זאת, במקרה הלא סביר שבו חשבון Google של המשתמש ייפרץ או שיקרה אירוע אבטחה משמעותי אחר, האפליקציה שלך עלולה להיות חשופה לתקיפה. כדי להגן טוב יותר על החשבונות מפני אירועי אבטחה משמעותיים, כדאי להשתמש בהגנה על חשבונות שונים כדי לקבל התראות אבטחה מ-Google. עם קבלת האירועים האלה, תהיה לך אפשרות לראות שינויים חשובים באבטחה של חשבון Google של המשתמש, ולאחר מכן תהיה לך אפשרות לבצע פעולות בשירות כדי לאבטח את החשבונות שלך.