Wenn du Google Log-in mit einer App oder Website verwendest, die mit einem Back-End-Server kommuniziert, musst du möglicherweise den aktuell angemeldeten Nutzer auf dem Server identifizieren. Nachdem sich ein Nutzer erfolgreich angemeldet hat, sende zu diesem Zweck das ID-Token des Nutzers über HTTPS an deinen Server. Prüfen Sie dann auf dem Server die Integrität des ID-Tokens und verwenden Sie die im Token enthaltenen Nutzerinformationen, um eine Sitzung einzurichten oder ein neues Konto zu erstellen.
ID-Token an Server senden
Nachdem sich ein Nutzer erfolgreich angemeldet hat, rufen Sie das ID-Token des Nutzers ab:
function onSignIn(googleUser) { var id_token = googleUser.getAuthResponse().id_token; ... }
Senden Sie dann das ID-Token mit einer HTTPS-POST-Anfrage an Ihren Server:
var xhr = new XMLHttpRequest(); xhr.open('POST', 'https://yourbackend.example.com/tokensignin'); xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded'); xhr.onload = function() { console.log('Signed in as: ' + xhr.responseText); }; xhr.send('idtoken=' + id_token);
Integrität des ID-Tokens prüfen
Nachdem Sie das ID-Token über HTTPS POST erhalten haben, müssen Sie die Integrität des Tokens prüfen.
To verify that the token is valid, ensure that the following criteria are satisfied:
- The ID token is properly signed by Google. Use Google's public keys
(available in
JWK or
PEM format)
to verify the token's signature. These keys are regularly rotated; examine
the
Cache-Control
header in the response to determine when you should retrieve them again. - The value of
aud
in the ID token is equal to one of your app's client IDs. This check is necessary to prevent ID tokens issued to a malicious app being used to access data about the same user on your app's backend server. - The value of
iss
in the ID token is equal toaccounts.google.com
orhttps://accounts.google.com
. - The expiry time (
exp
) of the ID token has not passed. - If you need to validate that the ID token represents a Google Workspace or Cloud
organization account, you can check the
hd
claim, which indicates the hosted domain of the user. This must be used when restricting access to a resource to only members of certain domains. The absence of this claim indicates that the account does not belong to a Google hosted domain.
Rather than writing your own code to perform these verification steps, we strongly
recommend using a Google API client library for your platform, or a general-purpose
JWT library. For development and debugging, you can call our tokeninfo
validation endpoint.
Using a Google API Client Library
Using one of the Google API Client Libraries (e.g. Java, Node.js, PHP, Python) is the recommended way to validate Google ID tokens in a production environment.
To validate an ID token in Java, use the GoogleIdTokenVerifier object. For example:
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken; import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload; import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier; ... GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory) // Specify the CLIENT_ID of the app that accesses the backend: .setAudience(Collections.singletonList(CLIENT_ID)) // Or, if multiple clients access the backend: //.setAudience(Arrays.asList(CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3)) .build(); // (Receive idTokenString by HTTPS POST) GoogleIdToken idToken = verifier.verify(idTokenString); if (idToken != null) { Payload payload = idToken.getPayload(); // Print user identifier String userId = payload.getSubject(); System.out.println("User ID: " + userId); // Get profile information from payload String email = payload.getEmail(); boolean emailVerified = Boolean.valueOf(payload.getEmailVerified()); String name = (String) payload.get("name"); String pictureUrl = (String) payload.get("picture"); String locale = (String) payload.get("locale"); String familyName = (String) payload.get("family_name"); String givenName = (String) payload.get("given_name"); // Use or store profile information // ... } else { System.out.println("Invalid ID token."); }
The GoogleIdTokenVerifier.verify()
method verifies the JWT
signature, the aud
claim, the iss
claim, and the
exp
claim.
If you need to validate that the ID token represents a Google Workspace or Cloud
organization account, you can verify the hd
claim by checking the domain name
returned by the Payload.getHostedDomain()
method. The domain of the
email
claim is insufficient to ensure that the account is managed by a domain
or organization.
To validate an ID token in Node.js, use the Google Auth Library for Node.js. Install the library:
npm install google-auth-library --saveThen, call the
verifyIdToken()
function. For example:
const {OAuth2Client} = require('google-auth-library'); const client = new OAuth2Client(); async function verify() { const ticket = await client.verifyIdToken({ idToken: token, audience: CLIENT_ID, // Specify the CLIENT_ID of the app that accesses the backend // Or, if multiple clients access the backend: //[CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3] }); const payload = ticket.getPayload(); const userid = payload['sub']; // If the request specified a Google Workspace domain: // const domain = payload['hd']; } verify().catch(console.error);
The verifyIdToken
function verifies
the JWT signature, the aud
claim, the exp
claim,
and the iss
claim.
If you need to validate that the ID token represents a Google Workspace or Cloud
organization account, you can check the hd
claim, which indicates the hosted
domain of the user. This must be used when restricting access to a resource to only members
of certain domains. The absence of this claim indicates that the account does not belong to
a Google hosted domain.
To validate an ID token in PHP, use the Google API Client Library for PHP. Install the library (for example, using Composer):
composer require google/apiclientThen, call the
verifyIdToken()
function. For example:
require_once 'vendor/autoload.php'; // Get $id_token via HTTPS POST. $client = new Google_Client(['client_id' => $CLIENT_ID]); // Specify the CLIENT_ID of the app that accesses the backend $payload = $client->verifyIdToken($id_token); if ($payload) { $userid = $payload['sub']; // If the request specified a Google Workspace domain //$domain = $payload['hd']; } else { // Invalid ID token }
The verifyIdToken
function verifies
the JWT signature, the aud
claim, the exp
claim,
and the iss
claim.
If you need to validate that the ID token represents a Google Workspace or Cloud
organization account, you can check the hd
claim, which indicates the hosted
domain of the user. This must be used when restricting access to a resource to only members
of certain domains. The absence of this claim indicates that the account does not belong to
a Google hosted domain.
To validate an ID token in Python, use the verify_oauth2_token function. For example:
from google.oauth2 import id_token from google.auth.transport import requests # (Receive token by HTTPS POST) # ... try: # Specify the CLIENT_ID of the app that accesses the backend: idinfo = id_token.verify_oauth2_token(token, requests.Request(), CLIENT_ID) # Or, if multiple clients access the backend server: # idinfo = id_token.verify_oauth2_token(token, requests.Request()) # if idinfo['aud'] not in [CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]: # raise ValueError('Could not verify audience.') # If the request specified a Google Workspace domain # if idinfo['hd'] != DOMAIN_NAME: # raise ValueError('Wrong domain name.') # ID token is valid. Get the user's Google Account ID from the decoded token. userid = idinfo['sub'] except ValueError: # Invalid token pass
The verify_oauth2_token
function verifies the JWT
signature, the aud
claim, and the exp
claim.
You must also verify the hd
claim (if applicable) by examining the object that
verify_oauth2_token
returns. If multiple clients access the
backend server, also manually verify the aud
claim.
Tokeninfo-Endpunkt aufrufen
Eine einfache Möglichkeit zur Validierung einer ID-Token-Signatur für das Debugging ist die Verwendung des Endpunkts tokeninfo
. Das Aufrufen dieses Endpunkts erfordert eine zusätzliche Netzwerkanfrage, die den Großteil der Validierung für Sie übernimmt, während Sie die ordnungsgemäße Validierung und die Extraktion der Nutzlast in Ihrem eigenen Code testen. Sie ist nicht für die Verwendung in Produktionscode geeignet, da Anfragen gedrosselt oder auf andere Weise zeitweilig auftretenden Fehlern ausgesetzt werden können.
Wenn Sie ein ID-Token mit dem Endpunkt tokeninfo
validieren möchten, senden Sie eine HTTPS-POST- oder -GET-Anfrage an den Endpunkt und übergeben Sie Ihr ID-Token im Parameter id_token
.
Um beispielsweise das Token "XYZ123" zu validieren, führen Sie die folgende GET-Anfrage aus:
https://oauth2.googleapis.com/tokeninfo?id_token=XYZ123
Wenn das Token ordnungsgemäß signiert ist und die Anforderungen iss
und exp
die erwarteten Werte haben, erhalten Sie eine HTTP 200-Antwort, in der der Text die ID-Token-Anforderungen im JSON-Format enthält.
Sie sehen hier ein Beispiel:
{ // These six fields are included in all Google ID Tokens. "iss": "https://accounts.google.com", "sub": "110169484474386276334", "azp": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com", "aud": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com", "iat": "1433978353", "exp": "1433981953", // These seven fields are only included when the user has granted the "profile" and // "email" OAuth scopes to the application. "email": "testuser@gmail.com", "email_verified": "true", "name" : "Test User", "picture": "https://lh4.googleusercontent.com/-kYgzyAWpZzJ/ABCDEFGHI/AAAJKLMNOP/tIXL9Ir44LE/s99-c/photo.jpg", "given_name": "Test", "family_name": "User", "locale": "en" }
Wenn du überprüfen musst, ob das ID-Token ein Google Workspace-Konto darstellt, kannst du die hd
-Anforderung prüfen, die die gehostete Domain des Nutzers angibt. Dies muss verwendet werden, wenn der Zugriff auf eine Ressource auf Mitglieder bestimmter Domains beschränkt werden soll. Falls dieser Anspruch fehlt, bedeutet das, dass das Konto nicht zu einer von Google Workspace gehosteten Domain gehört.
Konto oder Sitzung erstellen
Nachdem Sie das Token verifiziert haben, prüfen Sie, ob sich der Nutzer bereits in Ihrer Nutzerdatenbank befindet. Richten Sie in diesem Fall eine authentifizierte Sitzung für den Nutzer ein. Wenn sich der Nutzer noch nicht in Ihrer Nutzerdatenbank befindet, erstellen Sie aus den Informationen in der Nutzlast des ID-Tokens einen neuen Nutzerdatensatz und richten Sie eine Sitzung für den Nutzer ein. Sie können den Nutzer zur Eingabe zusätzlicher Profilinformationen auffordern, wenn Sie einen neu erstellten Nutzer in Ihrer Anwendung erkennen.
Nutzerkonten mit dem produktübergreifenden Kontoschutz schützen
Wenn Sie sich auf die Anmeldung eines Nutzers durch Google verlassen, profitieren Sie automatisch von allen Sicherheitsfunktionen und der Infrastruktur, die Google zum Schutz der Nutzerdaten entwickelt hat. Im unwahrscheinlichen Fall, dass das Google-Konto des Nutzers manipuliert wird oder ein anderes schwerwiegendes Sicherheitsereignis auftritt, kann Ihre Anwendung jedoch auch anfällig für Angriffe sein. Mit dem produktübergreifenden Kontoschutz können Sie Ihre Konten besser vor größeren Sicherheitsereignissen schützen und Sicherheitswarnungen von Google erhalten. Wenn Sie diese Ereignisse erhalten, erhalten Sie Einblick in wichtige Änderungen in Bezug auf die Sicherheit der Google-Konten des Nutzers und können dann Maßnahmen in Bezug auf Ihren Dienst ergreifen, um Ihre Konten zu schützen.