Se você usa o Login do Google com um app ou site que se comunica com um back-end servidor, talvez seja necessário identificar o usuário atualmente conectado nele. Para fazer isso de forma segura, depois que um usuário fizer login, envie o token de ID para seu servidor usando HTTPS. Em seguida, no servidor, verifique a integridade do token de ID e usar as informações do usuário contidas no token para estabelecer uma sessão ou criar uma nova conta.
Enviar o token de ID para seu servidor
Depois que um usuário fizer login, receba o token de ID:
function onSignIn(googleUser) {
var id_token = googleUser.getAuthResponse().id_token;
...
}
Em seguida, envie o token de ID para o seu servidor com uma solicitação POST HTTPS:
var xhr = new XMLHttpRequest();
xhr.open('POST', 'https://yourbackend.example.com/tokensignin');
xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
xhr.onload = function() {
console.log('Signed in as: ' + xhr.responseText);
};
xhr.send('idtoken=' + id_token);
Verificar a integridade do token de ID
Depois de receber o token de ID por HTTPS POST, verifique a integridade do token.
To verify that the token is valid, ensure that the following criteria are satisfied:
- The ID token is properly signed by Google. Use Google's public keys
(available in
JWK or
PEM format)
to verify the token's signature. These keys are regularly rotated; examine
the
Cache-Controlheader in the response to determine when you should retrieve them again. - The value of
audin the ID token is equal to one of your app's client IDs. This check is necessary to prevent ID tokens issued to a malicious app being used to access data about the same user on your app's backend server. - The value of
issin the ID token is equal toaccounts.google.comorhttps://accounts.google.com. - The expiry time (
exp) of the ID token has not passed. - If you need to validate that the ID token represents a Google Workspace or Cloud
organization account, you can check the
hdclaim, which indicates the hosted domain of the user. This must be used when restricting access to a resource to only members of certain domains. The absence of this claim indicates that the account does not belong to a Google hosted domain.
Using the email, email_verified and hd fields, you can determine if
Google hosts and is authoritative for an email address. In the cases where Google is authoritative,
the user is known to be the legitimate account owner, and you may skip password or other
challenge methods.
Cases where Google is authoritative:
emailhas a@gmail.comsuffix, this is a Gmail account.email_verifiedis true andhdis set, this is a G Suite account.
Users may register for Google Accounts without using Gmail or G Suite. When
email does not contain a @gmail.com suffix and hd is absent, Google is not
authoritative and password or other challenge methods are recommended to verify
the user. email_verified can also be true as Google initially verified the
user when the Google account was created, however ownership of the third party
email account may have since changed.
Rather than writing your own code to perform these verification steps, we strongly
recommend using a Google API client library for your platform, or a general-purpose
JWT library. For development and debugging, you can call our tokeninfo
validation endpoint.
Usar uma biblioteca de cliente das APIs do Google
Usar uma das bibliotecas de cliente das APIs do Google (por exemplo, Java Node.js PHP, Python) é a forma recomendada de validar tokens de ID do Google em um ambiente de produção.
Para validar um token de ID em Java, use o método objeto GoogleIdTokenVerifier. Exemplo:
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;
...
GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
// Specify the CLIENT_ID of the app that accesses the backend:
.setAudience(Collections.singletonList(CLIENT_ID))
// Or, if multiple clients access the backend:
//.setAudience(Arrays.asList(CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3))
.build();
// (Receive idTokenString by HTTPS POST)
GoogleIdToken idToken = verifier.verify(idTokenString);
if (idToken != null) {
Payload payload = idToken.getPayload();
// Print user identifier
String userId = payload.getSubject();
System.out.println("User ID: " + userId);
// Get profile information from payload
String email = payload.getEmail();
boolean emailVerified = Boolean.valueOf(payload.getEmailVerified());
String name = (String) payload.get("name");
String pictureUrl = (String) payload.get("picture");
String locale = (String) payload.get("locale");
String familyName = (String) payload.get("family_name");
String givenName = (String) payload.get("given_name");
// Use or store profile information
// ...
} else {
System.out.println("Invalid ID token.");
}
O método GoogleIdTokenVerifier.verify() verifica o JWT
assinatura, a declaração aud, a declaração iss e a
Reivindicação exp.
Se você precisar validar se o token de ID representa uma conta do Google Workspace ou
conta da organização, você pode verificar a declaração hd conferindo o nome de domínio
retornados pelo método Payload.getHostedDomain(). O domínio do
email reivindicação é insuficiente para garantir que a conta seja gerenciada por um domínio
ou organização.
Para validar um token de ID no Node.js, use a Biblioteca do Google Auth para Node.js. Instale a biblioteca:
npm install google-auth-library --saveEm seguida, chame a função
verifyIdToken(). Exemplo:
const {OAuth2Client} = require('google-auth-library');
const client = new OAuth2Client();
async function verify() {
const ticket = await client.verifyIdToken({
idToken: token,
audience: CLIENT_ID, // Specify the CLIENT_ID of the app that accesses the backend
// Or, if multiple clients access the backend:
//[CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]
});
const payload = ticket.getPayload();
const userid = payload['sub'];
// If the request specified a Google Workspace domain:
// const domain = payload['hd'];
}
verify().catch(console.error);
A função verifyIdToken verifica
a assinatura JWT, a declaração aud, a declaração exp
e a declaração iss.
Se você precisar validar se o token de ID representa uma conta do Google Workspace ou
da organização, verifique a declaração hd, que indica o servidor
domínio do usuário. Precisa ser usado ao restringir o acesso a um recurso apenas para membros
de determinados domínios. A ausência dessa reivindicação indica que a conta não pertence a
um domínio hospedado pelo Google.
Para validar um token de ID em PHP, use a biblioteca de cliente de APIs do Google para PHP. Instale a biblioteca (por exemplo, usando o Composer):
composer require google/apiclientEm seguida, chame a função
verifyIdToken(). Exemplo:
require_once 'vendor/autoload.php';
// Get $id_token via HTTPS POST.
$client = new Google_Client(['client_id' => $CLIENT_ID]); // Specify the CLIENT_ID of the app that accesses the backend
$payload = $client->verifyIdToken($id_token);
if ($payload) {
$userid = $payload['sub'];
// If the request specified a Google Workspace domain
//$domain = $payload['hd'];
} else {
// Invalid ID token
}
A função verifyIdToken verifica
a assinatura JWT, a declaração aud, a declaração exp
e a declaração iss.
Se você precisar validar se o token de ID representa uma conta do Google Workspace ou
da organização, verifique a declaração hd, que indica o servidor
domínio do usuário. Precisa ser usado ao restringir o acesso a um recurso apenas para membros
de determinados domínios. A ausência dessa reivindicação indica que a conta não pertence a
um domínio hospedado pelo Google.
Para validar um token de ID em Python, use o verify_oauth2_token função. Exemplo:
from google.oauth2 import id_token
from google.auth.transport import requests
# (Receive token by HTTPS POST)
# ...
try:
# Specify the CLIENT_ID of the app that accesses the backend:
idinfo = id_token.verify_oauth2_token(token, requests.Request(), CLIENT_ID)
# Or, if multiple clients access the backend server:
# idinfo = id_token.verify_oauth2_token(token, requests.Request())
# if idinfo['aud'] not in [CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]:
# raise ValueError('Could not verify audience.')
# If the request specified a Google Workspace domain
# if idinfo['hd'] != DOMAIN_NAME:
# raise ValueError('Wrong domain name.')
# ID token is valid. Get the user's Google Account ID from the decoded token.
userid = idinfo['sub']
except ValueError:
# Invalid token
pass
A função verify_oauth2_token verifica o JWT
assinatura, a declaração aud e a declaração exp.
Você também precisa verificar a hd
(se aplicável) examinando o objeto que
verify_oauth2_token retorna. Se vários clientes acessarem o
servidor de back-end, verifique manualmente a declaração aud.
Calling the tokeninfo endpoint
An easy way to validate an ID token signature for debugging is to
use the tokeninfo endpoint. Calling this endpoint involves an
additional network request that does most of the validation for you while you test proper
validation and payload extraction in your own code. It is not suitable for use in production
code as requests may be throttled or otherwise subject to intermittent errors.
To validate an ID token using the tokeninfo endpoint, make an HTTPS
POST or GET request to the endpoint, and pass your ID token in the
id_token parameter.
For example, to validate the token "XYZ123", make the following GET request:
https://oauth2.googleapis.com/tokeninfo?id_token=XYZ123
If the token is properly signed and the iss and exp
claims have the expected values, you will get a HTTP 200 response, where the body
contains the JSON-formatted ID token claims.
Here's an example response:
{
// These six fields are included in all Google ID Tokens.
"iss": "https://accounts.google.com",
"sub": "110169484474386276334",
"azp": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
"aud": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
"iat": "1433978353",
"exp": "1433981953",
// These seven fields are only included when the user has granted the "profile" and
// "email" OAuth scopes to the application.
"email": "testuser@gmail.com",
"email_verified": "true",
"name" : "Test User",
"picture": "https://lh4.googleusercontent.com/-kYgzyAWpZzJ/ABCDEFGHI/AAAJKLMNOP/tIXL9Ir44LE/s99-c/photo.jpg",
"given_name": "Test",
"family_name": "User",
"locale": "en"
}If you need to validate that the ID token represents a Google Workspace account, you can check
the hd claim, which indicates the hosted domain of the user. This must be used when
restricting access to a resource to only members of certain domains. The absence of this claim
indicates that the account does not belong to a Google Workspace hosted domain.
Criar uma conta ou sessão
Depois de verificar o token, confira se o usuário já está no seu usuário no seu banco de dados. Em caso afirmativo, estabeleça uma sessão autenticada para o usuário. Se o usuário ainda não estiver no seu banco de dados de usuários, crie um novo registro de usuário a partir das informações no payload do token de ID e estabeleça uma sessão para o usuário. É possível solicitar o usuário para qualquer informação adicional de perfil necessária quando você detecta um um usuário recém-criado no seu app.
Como proteger os usuários contas com a Proteção entre contas
Quando conta com o Google para fazer login de um usuário, você se beneficia automaticamente de todos os infraestrutura e recursos de segurança que o Google criou para proteger os dados dos usuários. No entanto, no caso improvável de a Conta do Google do usuário ser comprometida ou no caso de haver um evento de segurança significativo, o app também poderá ficar vulnerável a ataques. Para proteger melhor seus contas de qualquer evento importante de segurança, use a opção Proteção para receber alertas de segurança do Google. Quando receber esses eventos, ganhar visibilidade de alterações importantes na segurança da Conta do Google do usuário e você poderá tomar providências no serviço para proteger suas contas.