Diese Seite wurde von der Cloud Translation API übersetzt.

Mit einem Back-End-Server authentifizieren

Wenn du Google Log-in mit einer App oder Website verwendest, die mit einem Back-End-Server kommuniziert, musst du möglicherweise den aktuell angemeldeten Nutzer auf dem Server identifizieren. Nachdem sich ein Nutzer erfolgreich angemeldet hat, sende zu diesem Zweck das ID-Token des Nutzers über HTTPS an deinen Server. Prüfen Sie dann auf dem Server die Integrität des ID-Tokens und verwenden Sie die im Token enthaltenen Nutzerinformationen, um eine Sitzung einzurichten oder ein neues Konto zu erstellen.

Warnung:Akzeptieren Sie auf Ihrem Back-End-Server keine einfachen Nutzer-IDs, wie sie beispielsweise mit GoogleUser.getId() method abgerufen werden können. Eine geänderte Clientanwendung kann beliebige Nutzer-IDs an Ihren Server senden, um die Identität von Nutzern zu übernehmen. Daher müssen Sie stattdessen überprüfbare ID-Tokens verwenden, um die Nutzer-IDs angemeldeter Nutzer serverseitig sicher abzurufen.

ID-Token an Server senden

Nachdem sich ein Nutzer erfolgreich angemeldet hat, rufen Sie das ID-Token des Nutzers ab:

function onSignIn(googleUser) {
  var id_token = googleUser.getAuthResponse().id_token;
  ...
}

Senden Sie dann das ID-Token mit einer HTTPS-POST-Anfrage an Ihren Server:

var xhr = new XMLHttpRequest();
xhr.open('POST', 'https://yourbackend.example.com/tokensignin');
xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
xhr.onload = function() {
  console.log('Signed in as: ' + xhr.responseText);
};
xhr.send('idtoken=' + id_token);

Integrität des ID-Tokens prüfen

Nachdem Sie das ID-Token über HTTPS POST erhalten haben, müssen Sie die Integrität des Tokens prüfen.

Prüfen Sie, ob das Token gültig ist: erfüllt sind:

Das ID-Token wurde von Google ordnungsgemäß signiert. Öffentliche Schlüssel von Google verwenden (verfügbar in JWK oder PEM-Format) um die Signatur des Tokens zu überprüfen. Diese Schlüssel werden regelmäßig rotiert. untersuchen den Cache-Control-Header in der Antwort, um zu bestimmen, wann sollten Sie sie erneut abrufen.
Der Wert von aud im ID-Token entspricht einem der Werte Client-IDs. Diese Prüfung ist erforderlich, um zu verhindern, dass ID-Tokens, die an einen App, die für den Zugriff auf Daten über denselben Nutzer auf dem Back-End-Server Ihrer App verwendet wird.
Der Wert von iss im ID-Token ist gleich accounts.google.com oder https://accounts.google.com.
Die Ablaufzeit (exp) des ID-Tokens ist noch nicht abgelaufen.
Wenn Sie prüfen müssen, ob das ID-Token für Google Workspace oder Cloud steht Unternehmenskonto haben, können Sie die hd-Anforderung prüfen, die angibt, Domain des Nutzers. Dies muss verwendet werden, wenn der Zugriff auf eine Ressource auf Mitglieder von bestimmten Domains. Fehlt dieser Anspruch, gehört das Konto nicht zu einem Von Google gehostete Domain.

Mit den Feldern email, email_verified und hd können Sie festlegen, Google hostet eine E-Mail-Adresse und ist für sie maßgeblich. In Fällen, in denen Google maßgeblich ist, dass der Nutzer als rechtmäßiger Kontoinhaber bekannt ist und Sie das Passwort oder andere Challenge-Methoden.

Fälle, in denen Google als vertrauenswürdig eingestuft wird:

email hat das Suffix @gmail.com. Dies ist ein Gmail-Konto.
email_verified ist „true“ und hd ist festgelegt. Dies ist ein G Suite-Konto.

Nutzer können sich für ein Google-Konto registrieren, ohne Gmail oder die G Suite zu verwenden. Wann? email enthält kein @gmail.com-Suffix und hd ist nicht vorhanden, Google nicht werden zur Bestätigung der Identität empfohlen, Nutzenden. email_verified kann auch „true“ sein, da Google das Nutzer beim Erstellen des Google-Kontos, die Inhaberschaft des Drittanbieters Ihr E-Mail-Konto hat sich in der Zwischenzeit möglicherweise geändert.

Sie müssen keinen eigenen Code für diese Bestätigungsschritte schreiben, empfehlen die Verwendung einer Google API-Client-Bibliothek für Ihre Plattform oder eine allgemeine JWT-Bibliothek. Für Entwicklung und Fehlerbehebung können Sie unser tokeninfo Validierungsendpunkt.

Google API-Clientbibliothek verwenden

Die Verwendung einer der Google API-Clientbibliotheken (z.B. Java, Node.js, PHP, Python) wird zum Prüfen von Google-ID-Tokens in einer Produktionsumgebung empfohlen.

Java

Verwenden Sie das Objekt GoogleIdTokenVerifier, um ein ID-Token in Java zu validieren. Beispiel:

import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;

...

GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
    // Specify the CLIENT_ID of the app that accesses the backend:
    .setAudience(Collections.singletonList(CLIENT_ID))
    // Or, if multiple clients access the backend:
    //.setAudience(Arrays.asList(CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3))
    .build();

// (Receive idTokenString by HTTPS POST)

GoogleIdToken idToken = verifier.verify(idTokenString);
if (idToken != null) {
  Payload payload = idToken.getPayload();

  // Print user identifier
  String userId = payload.getSubject();
  System.out.println("User ID: " + userId);

  // Get profile information from payload
  String email = payload.getEmail();
  boolean emailVerified = Boolean.valueOf(payload.getEmailVerified());
  String name = (String) payload.get("name");
  String pictureUrl = (String) payload.get("picture");
  String locale = (String) payload.get("locale");
  String familyName = (String) payload.get("family_name");
  String givenName = (String) payload.get("given_name");

  // Use or store profile information
  // ...

} else {
  System.out.println("Invalid ID token.");
}

Die Methode GoogleIdTokenVerifier.verify() überprüft die JWT-Signatur, die aud-Anforderung, die iss-Anforderung und die exp-Anforderung.

Wenn Sie überprüfen müssen, ob das ID-Token ein Google Workspace- oder Cloud-Organisationskonto darstellt, können Sie die hd-Anforderung prüfen. Dazu prüfen Sie den Domainnamen, der von der Methode Payload.getHostedDomain() zurückgegeben wird. Die Domain der email-Anforderung reicht nicht aus, um dafür zu sorgen, dass das Konto von einer Domain oder Organisation verwaltet wird.

Node.js

Verwenden Sie zum Prüfen eines ID-Tokens in Node.js die Google-Authentifizierungsbibliothek für Node.js. Installieren Sie die Bibliothek:

npm install google-auth-library --save

Rufen Sie dann die Funktion verifyIdToken() auf. Beispiel:

const {OAuth2Client} = require('google-auth-library');
const client = new OAuth2Client();
async function verify() {
  const ticket = await client.verifyIdToken({
      idToken: token,
      audience: CLIENT_ID,  // Specify the CLIENT_ID of the app that accesses the backend
      // Or, if multiple clients access the backend:
      //[CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]
  });
  const payload = ticket.getPayload();
  const userid = payload['sub'];
  // If the request specified a Google Workspace domain:
  // const domain = payload['hd'];
}
verify().catch(console.error);

Die Funktion verifyIdToken prüft die JWT-Signatur, die aud-Anforderung, die exp- und die iss-Anforderung.

Wenn Sie überprüfen müssen, ob das ID-Token ein Google Workspace- oder Cloud-Organisationskonto darstellt, können Sie die hd-Anforderung prüfen, die die gehostete Domain des Nutzers angibt. Dies muss verwendet werden, wenn der Zugriff auf eine Ressource auf Mitglieder bestimmter Domains beschränkt werden soll. Falls dieser Anspruch fehlt, bedeutet das, dass das Konto nicht zu einer von Google gehosteten Domain gehört.

PHP

Mit der Google API-Clientbibliothek für PHP können Sie ein ID-Token in PHP validieren. Installieren Sie die Bibliothek, z. B. mit Composer:

composer require google/apiclient

Rufen Sie dann die Funktion verifyIdToken() auf. Beispiel:

require_once 'vendor/autoload.php';

// Get $id_token via HTTPS POST.

$client = new Google_Client(['client_id' => $CLIENT_ID]);  // Specify the CLIENT_ID of the app that accesses the backend
$payload = $client->verifyIdToken($id_token);
if ($payload) {
  $userid = $payload['sub'];
  // If the request specified a Google Workspace domain
  //$domain = $payload['hd'];
} else {
  // Invalid ID token
}

Die Funktion verifyIdToken prüft die JWT-Signatur, die aud-Anforderung, die exp- und die iss-Anforderung.

Python

Verwenden Sie die Funktion verify_oauth2_token, um ein ID-Token in Python zu validieren. Beispiel:

from google.oauth2 import id_token
from google.auth.transport import requests

# (Receive token by HTTPS POST)
# ...

try:
    # Specify the CLIENT_ID of the app that accesses the backend:
    idinfo = id_token.verify_oauth2_token(token, requests.Request(), CLIENT_ID)

    # Or, if multiple clients access the backend server:
    # idinfo = id_token.verify_oauth2_token(token, requests.Request())
    # if idinfo['aud'] not in [CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]:
    #     raise ValueError('Could not verify audience.')

    # If the request specified a Google Workspace domain
    # if idinfo['hd'] != DOMAIN_NAME:
    #     raise ValueError('Wrong domain name.')

    # ID token is valid. Get the user's Google Account ID from the decoded token.
    userid = idinfo['sub']
except ValueError:
    # Invalid token
    pass

Die Funktion verify_oauth2_token überprüft die JWT-Signatur, die aud-Anforderung und die exp-Anforderung. Sie müssen auch die hd-Anforderung (falls zutreffend) verifizieren, indem Sie das Objekt untersuchen, das verify_oauth2_token zurückgibt. Wenn mehrere Clients auf den Back-End-Server zugreifen, prüfen Sie die aud-Anforderung auch manuell.

Calling the tokeninfo endpoint

An easy way to validate an ID token signature for debugging is to use the tokeninfo endpoint. Calling this endpoint involves an additional network request that does most of the validation for you while you test proper validation and payload extraction in your own code. It is not suitable for use in production code as requests may be throttled or otherwise subject to intermittent errors.

To validate an ID token using the tokeninfo endpoint, make an HTTPS POST or GET request to the endpoint, and pass your ID token in the id_token parameter. For example, to validate the token "XYZ123", make the following GET request:

https://oauth2.googleapis.com/tokeninfo?id_token=XYZ123

If the token is properly signed and the iss and exp claims have the expected values, you will get a HTTP 200 response, where the body contains the JSON-formatted ID token claims. Here's an example response:

{
 // These six fields are included in all Google ID Tokens.
 "iss": "https://accounts.google.com",
 "sub": "110169484474386276334",
 "azp": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
 "aud": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
 "iat": "1433978353",
 "exp": "1433981953",

 // These seven fields are only included when the user has granted the "profile" and
 // "email" OAuth scopes to the application.
 "email": "testuser@gmail.com",
 "email_verified": "true",
 "name" : "Test User",
 "picture": "https://lh4.googleusercontent.com/-kYgzyAWpZzJ/ABCDEFGHI/AAAJKLMNOP/tIXL9Ir44LE/s99-c/photo.jpg",
 "given_name": "Test",
 "family_name": "User",
 "locale": "en"
}

Warning: Once you get these claims, you still need to check that the aud claim contains one of your app's client IDs. If it does, then the token is both valid and intended for your client, and you can safely retrieve and use the user's unique Google ID from the sub claim.

If you need to validate that the ID token represents a Google Workspace account, you can check the hd claim, which indicates the hosted domain of the user. This must be used when restricting access to a resource to only members of certain domains. The absence of this claim indicates that the account does not belong to a Google Workspace hosted domain.

Konto oder Sitzung erstellen

Nachdem Sie das Token verifiziert haben, prüfen Sie, ob sich der Nutzer bereits in Ihrer Nutzerdatenbank befindet. Richten Sie in diesem Fall eine authentifizierte Sitzung für den Nutzer ein. Wenn sich der Nutzer noch nicht in Ihrer Nutzerdatenbank befindet, erstellen Sie aus den Informationen in der Nutzlast des ID-Tokens einen neuen Nutzerdatensatz und richten Sie eine Sitzung für den Nutzer ein. Sie können den Nutzer zur Eingabe zusätzlicher Profilinformationen auffordern, wenn Sie einen neu erstellten Nutzer in Ihrer Anwendung erkennen.

Nutzerkonten mit dem produktübergreifenden Kontoschutz schützen

Wenn Sie sich auf die Anmeldung eines Nutzers durch Google verlassen, profitieren Sie automatisch von allen Sicherheitsfunktionen und der Infrastruktur, die Google zum Schutz der Nutzerdaten entwickelt hat. Im unwahrscheinlichen Fall, dass das Google-Konto des Nutzers manipuliert wird oder ein anderes schwerwiegendes Sicherheitsereignis auftritt, kann Ihre Anwendung jedoch auch anfällig für Angriffe sein. Mit dem produktübergreifenden Kontoschutz können Sie Ihre Konten besser vor größeren Sicherheitsereignissen schützen und Sicherheitswarnungen von Google erhalten. Wenn Sie diese Ereignisse erhalten, erhalten Sie Einblick in wichtige Änderungen in Bezug auf die Sicherheit der Google-Konten des Nutzers und können dann Maßnahmen in Bezug auf Ihren Dienst ergreifen, um Ihre Konten zu schützen.