Si usas el Acceso con Google en una app o sitio que se comunica con un backend tal vez debas identificar al usuario con sesión activa en el servidor. Para hacerlo de forma segura, después de que un usuario acceda correctamente, envía el un token de ID al servidor con HTTPS. Luego, en el servidor, verifica la integridad del token de ID y usar la información del usuario contenida en el token para establecer una sesión o crea una cuenta nueva.
Envía el token de ID a tu servidor
Después de que un usuario accede correctamente, obtén su token de ID:
function onSignIn(googleUser) { var id_token = googleUser.getAuthResponse().id_token; ... }
Luego, envía el token de ID a tu servidor con una solicitud HTTPS POST:
var xhr = new XMLHttpRequest(); xhr.open('POST', 'https://yourbackend.example.com/tokensignin'); xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded'); xhr.onload = function() { console.log('Signed in as: ' + xhr.responseText); }; xhr.send('idtoken=' + id_token);
Verifica la integridad del token de ID
Luego de recibir el token de ID a través de HTTPS POST, debes verificar la integridad del token.
Para verificar que el token sea válido, asegúrate de que se cumplan los siguientes requisitos: se cumplen los siguientes criterios:
- Google debe firmar correctamente el token de ID. Usa las claves públicas de Google
(disponible en
JWK o
PEM)
para verificar la firma del token. Estas claves se rotan con regularidad; examinar
el encabezado
Cache-Control
en la respuesta para determinar cuándo deberías recuperarlos de nuevo. - El valor de
aud
en el token de ID es igual a uno de los IDs de cliente. Esta comprobación es necesaria para prevenir tokens de ID emitidos a un app que se usa para acceder a los datos del mismo usuario en el servidor de backend de tu app. - El valor de
iss
en el token de ID es igual aaccounts.google.com
ohttps://accounts.google.com
. - No pasó la hora de vencimiento (
exp
) del token de ID. - Si necesitas validar que el token de ID represente un espacio de nombres de Google Workspace o Cloud
de tu organización, puedes verificar la reclamación de
hd
, que indica el estado dominio del usuario. Se debe usar cuando se restringe el acceso a un recurso a solo los miembros del determinados dominios. La ausencia de este reclamo indica que la cuenta no pertenece a un Dominio alojado en Google.
Usa los campos email
, email_verified
y hd
para determinar si
Google aloja una dirección de correo electrónico y tiene la autoridad para hacerlo. En los casos en que Google tenga autoridad,
se sabe que el usuario es el propietario legítimo de la cuenta, por lo que puedes omitir la contraseña u otra
de verificación de identidad.
Casos en los que Google es confiable:
email
tiene el sufijo@gmail.com
; esta es una cuenta de Gmail.email_verified
es verdadero yhd
está configurado. Esta es una cuenta de G Suite.
Los usuarios pueden registrarse en Cuentas de Google sin usar Gmail ni G Suite. Cuándo
email
no contiene un sufijo @gmail.com
y hd
está ausente; Google no lo hace
se recomienda verificar con métodos de verificación, tanto confiables como con contraseñas
del usuario. email_verified
también puede ser verdadero, ya que Google verificó inicialmente el
usuario cuando se creó la cuenta de Google, sin embargo, la propiedad del tercero
de correo electrónico puede haber cambiado desde entonces.
En lugar de escribir tu propio código para realizar estos pasos de verificación, te recomendamos
recomendamos usar una biblioteca cliente de API de Google para tu plataforma o una biblioteca
biblioteca JWT. Para desarrollo y depuración, puedes llamar a nuestro tokeninfo
.
extremo de validación.
Usa una biblioteca cliente de la API de Google
Usar una de las bibliotecas cliente de las APIs de Google (p.ej., Java Node.js, PHP Python) es la forma recomendada de validar tokens de ID de Google en un entorno de producción.
Para validar un token de ID en Java, utiliza el GoogleIdTokenVerifier. Por ejemplo:
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken; import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload; import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier; ... GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory) // Specify the CLIENT_ID of the app that accesses the backend: .setAudience(Collections.singletonList(CLIENT_ID)) // Or, if multiple clients access the backend: //.setAudience(Arrays.asList(CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3)) .build(); // (Receive idTokenString by HTTPS POST) GoogleIdToken idToken = verifier.verify(idTokenString); if (idToken != null) { Payload payload = idToken.getPayload(); // Print user identifier String userId = payload.getSubject(); System.out.println("User ID: " + userId); // Get profile information from payload String email = payload.getEmail(); boolean emailVerified = Boolean.valueOf(payload.getEmailVerified()); String name = (String) payload.get("name"); String pictureUrl = (String) payload.get("picture"); String locale = (String) payload.get("locale"); String familyName = (String) payload.get("family_name"); String givenName = (String) payload.get("given_name"); // Use or store profile information // ... } else { System.out.println("Invalid ID token."); }
El método GoogleIdTokenVerifier.verify()
verifica el JWT
firma, la reclamación de aud
, la reclamación de iss
y el
exp
reclamo.
Si necesitas validar que el token de ID represente un espacio de nombres de Google Workspace o Cloud
cuenta de organización, puedes verificar la reclamación de hd
si revisas el nombre de dominio
que muestra el método Payload.getHostedDomain()
El dominio de la
La reclamación email
no es suficiente para garantizar que la cuenta esté administrada por un dominio.
u organización.
Para validar un token de ID en Node.js, usa la biblioteca de Google Auth para Node.js. Instala la biblioteca:
npm install google-auth-library --saveLuego, llama a la función
verifyIdToken()
. Por ejemplo:
const {OAuth2Client} = require('google-auth-library'); const client = new OAuth2Client(); async function verify() { const ticket = await client.verifyIdToken({ idToken: token, audience: CLIENT_ID, // Specify the CLIENT_ID of the app that accesses the backend // Or, if multiple clients access the backend: //[CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3] }); const payload = ticket.getPayload(); const userid = payload['sub']; // If the request specified a Google Workspace domain: // const domain = payload['hd']; } verify().catch(console.error);
La función verifyIdToken
verifica
la firma de JWT, la reclamación aud
, la reclamación exp
y la reclamación de iss
.
Si necesitas validar que el token de ID represente un espacio de nombres de Google Workspace o Cloud
de tu organización, puedes verificar la reclamación de hd
, que indica el estado
dominio del usuario. Se debe usar cuando se restringe el acceso a un recurso solo a los miembros
de ciertos dominios. La ausencia de este reclamo indica que la cuenta no pertenece a
un dominio alojado en Google.
Para validar un token de ID en PHP, usa la biblioteca cliente de la API de Google para PHP. Instala la biblioteca (por ejemplo, con Composer):
composer require google/apiclientLuego, llama a la función
verifyIdToken()
. Por ejemplo:
require_once 'vendor/autoload.php'; // Get $id_token via HTTPS POST. $client = new Google_Client(['client_id' => $CLIENT_ID]); // Specify the CLIENT_ID of the app that accesses the backend $payload = $client->verifyIdToken($id_token); if ($payload) { $userid = $payload['sub']; // If the request specified a Google Workspace domain //$domain = $payload['hd']; } else { // Invalid ID token }
La función verifyIdToken
verifica
la firma de JWT, la reclamación aud
, la reclamación exp
y la reclamación de iss
.
Si necesitas validar que el token de ID represente un espacio de nombres de Google Workspace o Cloud
de tu organización, puedes verificar la reclamación de hd
, que indica el estado
dominio del usuario. Se debe usar cuando se restringe el acceso a un recurso solo a los miembros
de ciertos dominios. La ausencia de este reclamo indica que la cuenta no pertenece a
un dominio alojado en Google.
Para validar un token de ID en Python, usa el verify_oauth2_token . Por ejemplo:
from google.oauth2 import id_token from google.auth.transport import requests # (Receive token by HTTPS POST) # ... try: # Specify the CLIENT_ID of the app that accesses the backend: idinfo = id_token.verify_oauth2_token(token, requests.Request(), CLIENT_ID) # Or, if multiple clients access the backend server: # idinfo = id_token.verify_oauth2_token(token, requests.Request()) # if idinfo['aud'] not in [CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]: # raise ValueError('Could not verify audience.') # If the request specified a Google Workspace domain # if idinfo['hd'] != DOMAIN_NAME: # raise ValueError('Wrong domain name.') # ID token is valid. Get the user's Google Account ID from the decoded token. userid = idinfo['sub'] except ValueError: # Invalid token pass
La función verify_oauth2_token
verifica el JWT
firma, la reclamación de aud
y la reclamación de exp
.
También debes verificar el hd
.
reclamación (si corresponde), examinando el objeto que
Se muestra verify_oauth2_token
. Si varios clientes acceden a la
de backend, verifica también de forma manual la reclamación aud
.
Calling the tokeninfo endpoint
An easy way to validate an ID token signature for debugging is to
use the tokeninfo
endpoint. Calling this endpoint involves an
additional network request that does most of the validation for you while you test proper
validation and payload extraction in your own code. It is not suitable for use in production
code as requests may be throttled or otherwise subject to intermittent errors.
To validate an ID token using the tokeninfo
endpoint, make an HTTPS
POST or GET request to the endpoint, and pass your ID token in the
id_token
parameter.
For example, to validate the token "XYZ123", make the following GET request:
https://oauth2.googleapis.com/tokeninfo?id_token=XYZ123
If the token is properly signed and the iss
and exp
claims have the expected values, you will get a HTTP 200 response, where the body
contains the JSON-formatted ID token claims.
Here's an example response:
{ // These six fields are included in all Google ID Tokens. "iss": "https://accounts.google.com", "sub": "110169484474386276334", "azp": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com", "aud": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com", "iat": "1433978353", "exp": "1433981953", // These seven fields are only included when the user has granted the "profile" and // "email" OAuth scopes to the application. "email": "testuser@gmail.com", "email_verified": "true", "name" : "Test User", "picture": "https://lh4.googleusercontent.com/-kYgzyAWpZzJ/ABCDEFGHI/AAAJKLMNOP/tIXL9Ir44LE/s99-c/photo.jpg", "given_name": "Test", "family_name": "User", "locale": "en" }
If you need to validate that the ID token represents a Google Workspace account, you can check
the hd
claim, which indicates the hosted domain of the user. This must be used when
restricting access to a resource to only members of certain domains. The absence of this claim
indicates that the account does not belong to a Google Workspace hosted domain.
Crea una cuenta o sesión
Después de que hayas verificado el token, comprueba si el usuario ya está en tu cuenta de usuario en la base de datos. Si es así, establece una sesión autenticada para el usuario. Si el usuario aún no está en tu base de datos de usuarios, crea un nuevo registro de usuario a partir de la en la carga útil del token de ID y establecer una sesión para el usuario. Puedes pedirle al usuario para obtener cualquier información de perfil adicional que necesites cuando detectes usuario recién creado en tu app.
Proteger las contraseñas de los usuarios con la Protección integral de la cuenta
Cuando confías en Google para que un usuario acceda, te beneficiarás automáticamente de todas las la infraestructura y las funciones de seguridad que Google creó para proteger los datos del usuario. Sin embargo, en el caso improbable de que se vulnere la Cuenta de Google del usuario o de que haya otro evento de seguridad significativo, tu app también puede ser vulnerable a ataques. Para proteger mejor tus de eventos de seguridad importantes, usa Varias cuentas Protección para recibir alertas de seguridad de Google. Cuando recibes estos eventos, obtener visibilidad sobre los cambios importantes en la seguridad de la cuenta de Google del usuario y podrás tomar medidas en el servicio para proteger tus cuentas.