Les API OAuth 2.0 de Google peuvent être utilisées à la fois pour l'authentification et l'autorisation. Ce document décrit notre implémentation OAuth 2.0 pour l'authentification, qui est conforme à la spécification OpenID Connect et certifiée OpenID. La documentation de la section Utiliser OAuth 2.0 pour accéder aux API Google s'applique également à ce service. Si vous souhaitez explorer ce protocole de manière interactive, nous vous recommandons d'utiliser Google OAuth 2.0 Playground. Pour obtenir de l'aide sur Stack Overflow, ajoutez le tag "google-oauth" à vos questions.
Configurer OAuth 2.0
Avant que votre application puisse utiliser le système d'authentification OAuth 2.0 de Google pour la connexion des utilisateurs, vous devez configurer un projet dans la pour obtenir des identifiants OAuth 2.0, définir un URI de redirection et (facultatif) personnaliser les informations de branding que vos utilisateurs voient sur l'écran d'autorisation. Vous pouvez également utiliser pour créer un compte de service, activer la facturation, configurer le filtrage et effectuer d'autres tâches. Pour en savoir plus, consultez l'aide sur .
Obtenir des identifiants OAuth 2.0
Vous avez besoin d'identifiants OAuth 2.0, y compris d'un ID client et d'un code secret client, pour authentifier les utilisateurs et accéder aux API de Google.
Définir un URI de redirection
L'URI de redirection que vous définissez dans détermine l'emplacement où Google envoie les réponses à vos requêtes d'authentification.
Personnaliser l'écran de consentement de l'utilisateur
Pour vos utilisateurs, l'expérience d'authentification OAuth 2.0 inclut un écran d'autorisation qui décrit les informations que l'utilisateur divulgue et les conditions applicables. Par exemple, lorsque l'utilisateur se connecte, il peut être invité à autoriser votre application à accéder à son adresse e-mail et à ses informations de compte de base. Vous demandez l'accès à ces informations à l'aide du paramètre scope
, que votre application inclut dans sa requête d'authentification. Vous pouvez également utiliser des portées pour demander l'accès à d'autres API Google.
L'écran de consentement de l'utilisateur présente également des informations sur le branding, telles que le nom de votre produit, son logo et l'URL de sa page d'accueil. Vous contrôlez les informations de branding dans .
La boîte de dialogue de consentement suivante montre ce qu'un utilisateur verrait lorsqu'une combinaison d'habilitations OAuth 2.0 et Google Drive est présente dans la requête. (Cette boîte de dialogue générique a été générée à l'aide de Google OAuth 2.0 Playground. Elle n'inclut donc pas les informations de branding qui seraient définies dans .)
Accéder au service
Google et des tiers fournissent des bibliothèques que vous pouvez utiliser pour gérer de nombreux détails d'implémentation de l'authentification des utilisateurs et de l'accès aux API Google. Par exemple, les services d'identité Google et les bibliothèques clientes Google, qui sont disponibles pour diverses plates-formes.
Si vous choisissez de ne pas utiliser de bibliothèque, suivez les instructions du reste de ce document, qui décrit les flux de requêtes HTTP sous-jacents aux bibliothèques disponibles.
Authentifier l'utilisateur
L'authentification de l'utilisateur implique d'obtenir un jeton d'ID et de le valider. Les jetons d'identification sont une fonctionnalité standardisée d'OpenID Connect conçue pour partager des assertions d'identité sur Internet.
Les approches les plus couramment utilisées pour authentifier un utilisateur et obtenir un jeton d'ID sont appelées flux "serveur" et flux "implicite". Le flux de serveur permet au serveur backend d'une application de vérifier l'identité de la personne à l'aide d'un navigateur ou d'un appareil mobile. Le flux implicite est utilisé lorsqu'une application côté client (généralement une application JavaScript exécutée dans le navigateur) doit accéder directement aux API au lieu de le faire via son serveur backend.
Ce document explique comment effectuer le flux de serveur pour authentifier l'utilisateur. Le flux implicite est beaucoup plus complexe en raison des risques de sécurité liés à la gestion et à l'utilisation des jetons côté client. Si vous devez implémenter un flux implicite, nous vous recommandons vivement d'utiliser Google Identity Services.
Flux du serveur
Assurez-vous de configurer votre application dans pour lui permettre d'utiliser ces protocoles et d'authentifier vos utilisateurs. Lorsqu'un utilisateur tente de se connecter avec Google, vous devez:
- Créer un jeton d'état anti-contrefaçon
- Envoyer une requête d'authentification à Google
- Confirmer le jeton d'état anti-contrefaçon
- Échanger
code
contre un jeton d'accès et un jeton d'ID - Obtenir des informations sur l'utilisateur à partir du jeton d'ID
- Authentifier l'utilisateur
1. Créer un jeton d'état anti-contrefaçon
Vous devez protéger la sécurité de vos utilisateurs en empêchant les attaques par falsification de requêtes. La première étape consiste à créer un jeton de session unique qui conserve l'état entre votre application et le client de l'utilisateur. Vous faites ensuite correspondre ce jeton de session unique à la réponse d'authentification renvoyée par le service de connexion OAuth de Google pour vérifier que l'utilisateur envoie la requête et non un pirate informatique malveillant. Ces jetons sont souvent appelés jetons de falsification de requête intersites (CSRF).
Un bon choix pour un jeton d'état est une chaîne d'environ 30 caractères créée à l'aide d'un générateur de nombres aléatoires de haute qualité. Un autre est un hachage généré en signant certaines de vos variables d'état de session avec une clé qui est gardée secrète sur votre backend.
Le code suivant montre comment générer des jetons de session uniques.
PHP
Vous devez télécharger la bibliothèque cliente des API Google pour PHP pour utiliser cet exemple.
// Create a state token to prevent request forgery. // Store it in the session for later validation. $state = bin2hex(random_bytes(128/8)); $app['session']->set('state', $state); // Set the client ID, token state, and application name in the HTML while // serving it. return $app['twig']->render('index.html', array( 'CLIENT_ID' => CLIENT_ID, 'STATE' => $state, 'APPLICATION_NAME' => APPLICATION_NAME ));
Java
Vous devez télécharger la bibliothèque cliente des API Google pour Java pour utiliser cet exemple.
// Create a state token to prevent request forgery. // Store it in the session for later validation. String state = new BigInteger(130, new SecureRandom()).toString(32); request.session().attribute("state", state); // Read index.html into memory, and set the client ID, // token state, and application name in the HTML before serving it. return new Scanner(new File("index.html"), "UTF-8") .useDelimiter("\\A").next() .replaceAll("[{]{2}\\s*CLIENT_ID\\s*[}]{2}", CLIENT_ID) .replaceAll("[{]{2}\\s*STATE\\s*[}]{2}", state) .replaceAll("[{]{2}\\s*APPLICATION_NAME\\s*[}]{2}", APPLICATION_NAME);
Python
Vous devez télécharger la bibliothèque cliente des API Google pour Python pour utiliser cet exemple.
# Create a state token to prevent request forgery. # Store it in the session for later validation. state = hashlib.sha256(os.urandom(1024)).hexdigest() session['state'] = state # Set the client ID, token state, and application name in the HTML while # serving it. response = make_response( render_template('index.html', CLIENT_ID=CLIENT_ID, STATE=state, APPLICATION_NAME=APPLICATION_NAME))
2. Envoyer une requête d'authentification à Google
L'étape suivante consiste à créer une requête GET
HTTPS avec les paramètres URI appropriés.
Notez que HTTPS est utilisé plutôt que HTTP à toutes les étapes de ce processus. Les connexions HTTP sont refusées. Vous devez récupérer l'URI de base à partir du document de découverte à l'aide de la valeur de métadonnées authorization_endpoint
. La discussion suivante suppose que l'URI de base est https://accounts.google.com/o/oauth2/v2/auth
.
Pour une requête de base, spécifiez les paramètres suivants:
client_id
, que vous obtenez à partir de la .response_type
, qui dans une requête de flux avec code d'autorisation de base doit êtrecode
. (En savoir plus surresponse_type
)scope
, qui doit êtreopenid email
dans une requête de base. (En savoir plus surscope
)redirect_uri
doit être le point de terminaison HTTP de votre serveur qui recevra la réponse de Google. La valeur doit correspondre exactement à l'un des URI de redirection autorisés pour le client OAuth 2.0, que vous avez configuré dans . Si cette valeur ne correspond pas à un URI autorisé, la requête échoue et renvoie une erreurredirect_uri_mismatch
.state
doit inclure la valeur du jeton de session unique anti-contrefaçon, ainsi que toute autre information nécessaire pour récupérer le contexte lorsque l'utilisateur revient dans votre application (par exemple, l'URL de départ). (En savoir plus surstate
)nonce
est une valeur aléatoire générée par votre application qui active la protection contre la relecture lorsqu'elle est présente.login_hint
peut être l'adresse e-mail de l'utilisateur ou la chaînesub
, qui équivaut à l'ID Google de l'utilisateur. Si vous ne fournissez pas delogin_hint
et que l'utilisateur est actuellement connecté, l'écran de consentement inclut une demande d'approbation pour divulguer l'adresse e-mail de l'utilisateur à votre application. (En savoir plus surlogin_hint
.)- Utilisez le paramètre
hd
pour optimiser le flux OpenID Connect pour les utilisateurs d'un domaine particulier associé à une organisation Google Workspace ou Cloud (pour en savoir plus, consultezhd
).
Voici un exemple d'URI d'authentification OpenID Connect complet, avec des sauts de ligne et des espaces pour plus de lisibilité:
https://accounts.google.com/o/oauth2/v2/auth? response_type=code& client_id=424911365001.apps.googleusercontent.com& scope=openid%20email& redirect_uri=https%3A//oauth2.example.com/code& state=security_token%3D138r5719ru3e1%26url%3Dhttps%3A%2F%2Foauth2-login-demo.example.com%2FmyHome& login_hint=jsmith@example.com& nonce=0394852-3190485-2490358& hd=example.com
Les utilisateurs doivent donner leur consentement si votre application demande de nouvelles informations les concernant ou si elle demande un accès à un compte qu'ils n'ont pas encore approuvé.
3. Confirmer le jeton d'état de protection contre la falsification
La réponse est envoyée à l'redirect_uri
que vous avez spécifiée dans la requête. Toutes les réponses sont renvoyées dans la chaîne de requête, comme indiqué ci-dessous:
https://oauth2.example.com/code?state=security_token%3D138r5719ru3e1%26url%3Dhttps%3A%2F%2Foa2cb.example.com%2FmyHome&code=4/P7q7W91a-oMsCeLvIaQm6bTrgtp7&scope=openid%20email%20https://www.googleapis.com/auth/userinfo.email
Sur le serveur, vous devez vérifier que le state
reçu de Google correspond au jeton de session que vous avez créé à l'étape 1. Cette validation aller-retour permet de s'assurer que la requête est envoyée par l'utilisateur et non par un script malveillant.
Le code suivant montre comment confirmer les jetons de session que vous avez créés à l'étape 1:
PHP
Vous devez télécharger la bibliothèque cliente des API Google pour PHP pour utiliser cet exemple.
// Ensure that there is no request forgery going on, and that the user // sending us this connect request is the user that was supposed to. if ($request->get('state') != ($app['session']->get('state'))) { return new Response('Invalid state parameter', 401); }
Java
Vous devez télécharger la bibliothèque cliente des API Google pour Java pour utiliser cet exemple.
// Ensure that there is no request forgery going on, and that the user // sending us this connect request is the user that was supposed to. if (!request.queryParams("state").equals( request.session().attribute("state"))) { response.status(401); return GSON.toJson("Invalid state parameter."); }
Python
Vous devez télécharger la bibliothèque cliente des API Google pour Python pour utiliser cet exemple.
# Ensure that the request is not a forgery and that the user sending # this connect request is the expected user. if request.args.get('state', '') != session['state']: response = make_response(json.dumps('Invalid state parameter.'), 401) response.headers['Content-Type'] = 'application/json' return response
4. Échanger code
contre un jeton d'accès et un jeton d'ID
La réponse inclut un paramètre code
, un code d'autorisation à usage unique que votre serveur peut échanger contre un jeton d'accès et un jeton d'ID. Votre serveur effectue cet échange en envoyant une requête HTTPS POST
. La requête POST
est envoyée au point de terminaison du jeton, que vous devez récupérer à partir du document de découverte à l'aide de la valeur de métadonnées token_endpoint
. La discussion suivante suppose que le point de terminaison est https://oauth2.googleapis.com/token
. La requête doit inclure les paramètres suivants dans le corps POST
:
Champs | |
---|---|
code |
Code d'autorisation renvoyé par la requête initiale. |
client_id |
ID client obtenu auprès de la , comme décrit dans la section Obtenir des identifiants OAuth 2.0. |
client_secret |
Le code secret client que vous obtenez auprès de , comme décrit dans la section Obtenir des identifiants OAuth 2.0. |
redirect_uri |
URI de redirection autorisé pour le client_id donné spécifié dans le
, comme décrit dans la section Définir un URI de redirection. |
grant_type |
Ce champ doit contenir la valeur authorization_code ,
comme défini dans la spécification OAuth 2.0. |
La requête réelle peut se présenter comme suit:
POST /token HTTP/1.1 Host: oauth2.googleapis.com Content-Type: application/x-www-form-urlencoded code=4/P7q7W91a-oMsCeLvIaQm6bTrgtp7& client_id=your-client-id& client_secret=your-client-secret& redirect_uri=https%3A//oauth2.example.com/code& grant_type=authorization_code
Une réponse positive à cette requête contient les champs suivants dans un tableau JSON:
Champs | |
---|---|
access_token |
Jeton pouvant être envoyé à une API Google. |
expires_in |
Durée de vie restante du jeton d'accès, en secondes. |
id_token |
Un JWT contenant des informations d'identité sur l'utilisateur, signé numériquement par Google. |
scope |
Champs d'application d'accès accordés par access_token , exprimés sous la forme d'une liste de chaînes sensibles à la casse séparées par des espaces. |
token_type |
Indique le type de jeton renvoyé. À ce stade, ce champ a toujours la valeur Bearer .
|
refresh_token |
(facultatif)
Ce champ n'est présent que si le paramètre |
5. Obtenir des informations sur l'utilisateur à partir du jeton d'ID
Un jeton d'identification est un JWT, c'est-à-dire un objet JSON encodé en base64 signé de manière cryptographique. Normalement, vous devez valider un jeton d'ID avant de l'utiliser. Toutefois, comme vous communiquez directement avec Google via un canal HTTPS sans intermédiaire et que vous utilisez votre secret client pour vous authentifier auprès de Google, vous pouvez être sûr que le jeton que vous recevez provient bien de Google et qu'il est valide. Si votre serveur transmet le jeton d'ID à d'autres composants de votre application, il est extrêmement important que les autres composants valident le jeton avant de l'utiliser.
Étant donné que la plupart des bibliothèques d'API combinent la validation avec le travail de décodage des valeurs encodées en base64url et d'analyse du JSON, vous finirez probablement par valider le jeton lorsque vous accéderez aux revendications dans le jeton d'ID.
Charge utile d'un jeton d'ID
Un jeton d'identification est un objet JSON contenant un ensemble de paires nom/valeur. Voici un exemple, mis en forme pour une meilleure lisibilité:
{ "iss": "https://accounts.google.com", "azp": "1234987819200.apps.googleusercontent.com", "aud": "1234987819200.apps.googleusercontent.com", "sub": "10769150350006150715113082367", "at_hash": "HK6E_P6Dh8Y93mRNtsDB1Q", "hd": "example.com", "email": "jsmith@example.com", "email_verified": "true", "iat": 1353601026, "exp": 1353604926, "nonce": "0394852-3190485-2490358" }
Les jetons d'identité Google peuvent contenir les champs suivants (appelés revendications):
Revendication | Fourni | Description |
---|---|---|
aud |
toujours | Audience visée par ce jeton d'ID. Il doit s'agir de l'un des ID client OAuth 2.0 de votre application. |
exp |
toujours | Date d'expiration à partir de laquelle le jeton d'identification ne doit plus être accepté. Représenté en temps Unix (secondes entières). |
iat |
toujours | Heure à laquelle le jeton d'identification a été émis. Représenté en temps Unix (en secondes entières). |
iss |
toujours | Identifiant de l'émetteur de la réponse. Toujours https://accounts.google.com ou accounts.google.com pour les jetons d'ID Google. |
sub |
toujours | Identifiant de l'utilisateur, unique parmi tous les comptes Google et jamais réutilisé. Un compte Google peut avoir plusieurs adresses e-mail à différents moments, mais la valeur sub n'est jamais modifiée. Utilisez sub dans votre application comme clé d'identifiant unique pour l'utilisateur. Longueur maximale de 255 caractères ASCII sensibles à la casse. |
at_hash |
Hachage du jeton d'accès. Valide que le jeton d'accès est associé au jeton d'identité. Si le jeton d'identité est émis avec une valeur access_token dans le flux du serveur, cette revendication est toujours incluse. Cette revendication peut être utilisée comme mécanisme de remplacement pour se protéger contre les attaques de falsification de requêtes intersites, mais si vous suivez les étapes 1 et 3, il n'est pas nécessaire de vérifier le jeton d'accès. |
|
azp |
client_id du présentateur autorisé. Cette revendication n'est nécessaire que lorsque la partie qui demande le jeton d'ID n'est pas la même que l'audience du jeton d'ID. Cela peut être le cas chez Google pour les applications hybrides, où une application Web et une application Android ont un client_id OAuth 2.0 différent, mais partagent le même projet d'API Google. |
|
email |
Adresse e-mail de l'utilisateur. Fourni uniquement si vous avez inclus la portée email dans votre requête. La valeur de cette revendication n'est pas nécessairement propre à ce compte et peut changer au fil du temps. Par conséquent, vous ne devez pas utiliser cette valeur comme identifiant principal pour associer votre enregistrement utilisateur. Vous ne pouvez pas non plus vous appuyer sur le domaine de la revendication email pour identifier les utilisateurs d'organisations Google Workspace ou Cloud. Utilisez plutôt la revendication hd . |
|
email_verified |
"True" si l'adresse e-mail de l'utilisateur a été validée, sinon "false". | |
family_name |
Nom(s) ou nom(s) de famille de l'utilisateur. Peut être fourni lorsqu'une réclamation name est présente. |
|
given_name |
Prénom ou prénoms de l'utilisateur. Peut être fourni lorsqu'une réclamation name est présente. |
|
hd |
Domaine associé à l'organisation Google Workspace ou Cloud de l'utilisateur. Fourni uniquement si l'utilisateur appartient à une organisation Google Cloud. Vous devez cocher cette revendication lorsque vous limitez l'accès à une ressource aux membres de certains domaines. L'absence de cette revendication indique que le compte n'appartient pas à un domaine hébergé par Google. | |
locale |
Les paramètres régionaux de l'utilisateur, représentés par un tag de langue BCP 47.
Peut être fourni lorsqu'une revendication name est présente. |
|
name |
Nom complet de l'utilisateur, sous une forme à afficher. Peut être fourni dans les cas suivants :
Lorsque des revendications |
|
nonce |
Valeur de l'nonce fournie par votre application dans la requête d'authentification.
Vous devez appliquer une protection contre les attaques par rejeu en vous assurant qu'elle n'est présentée qu'une seule fois. |
|
picture |
URL de la photo de profil de l'utilisateur. Peut être fourni dans les cas suivants :
Lorsque des revendications |
|
profile |
URL de la page de profil de l'utilisateur. Peut être fourni dans les cas suivants :
Lorsque des revendications |
6. Authentifier l'utilisateur
Après avoir obtenu les informations utilisateur à partir du jeton d'ID, vous devez interroger la base de données utilisateur de votre application. Si l'utilisateur existe déjà dans votre base de données, vous devez démarrer une session d'application pour cet utilisateur si toutes les exigences de connexion sont remplies par la réponse de l'API Google.
Si l'utilisateur n'existe pas dans votre base de données, vous devez le rediriger vers votre processus d'inscription pour les nouveaux utilisateurs. Vous pouvez enregistrer automatiquement l'utilisateur en fonction des informations que vous recevez de Google, ou au moins préremplir de nombreux champs que vous exigez dans votre formulaire d'inscription. En plus des informations contenues dans le jeton d'ID, vous pouvez obtenir des informations supplémentaires sur le profil utilisateur à nos points de terminaison de profil utilisateur.
Rubriques avancées
Les sections suivantes décrivent plus en détail l'API Google OAuth 2.0. Ces informations sont destinées aux développeurs ayant des exigences avancées concernant l'authentification et l'autorisation.
Accès à d'autres API Google
L'un des avantages de l'utilisation d'OAuth 2.0 pour l'authentification est que votre application peut obtenir l'autorisation d'utiliser d'autres API Google au nom de l'utilisateur (telles que YouTube, Google Drive, Agenda ou Contacts) en même temps que vous authentifiez l'utilisateur. Pour ce faire, incluez les autres champs d'application dont vous avez besoin dans la requête d'authentification que vous envoyez à Google. Par exemple, pour ajouter la tranche d'âge de l'utilisateur à votre requête d'authentification, transmettez un paramètre de champ d'application de openid email https://www.googleapis.com/auth/profile.agerange.read
. L'utilisateur est invité de manière appropriée sur l'écran d'autorisation. Le jeton d'accès que vous recevez de Google vous permet d'accéder à toutes les API associées aux niveaux d'accès que vous avez demandés et qui vous ont été accordés.
Jetons d'actualisation
Dans votre demande d'accès à l'API, vous pouvez demander qu'un jeton d'actualisation soit renvoyé lors de l'échange code
. Un jeton d'actualisation fournit à votre application un accès continu aux API Google lorsque l'utilisateur n'est pas présent dans votre application. Pour demander un jeton d'actualisation, définissez le paramètre access_type
sur offline
dans votre requête d'authentification.
Remarques :
- Veillez à stocker le jeton d'actualisation de manière sécurisée et permanente, car vous ne pouvez l'obtenir que la première fois que vous effectuez le flux d'échange de code.
- Le nombre de jetons d'actualisation émis est limité: une limite par combinaison client/utilisateur et une autre par utilisateur pour tous les clients. Si votre application demande trop de jetons d'actualisation, elle peut rencontrer ces limites, auquel cas les jetons d'actualisation plus anciens ne fonctionnent plus.
Pour en savoir plus, consultez la section Actualiser un jeton d'accès (accès hors connexion).
Demander un nouveau consentement
Vous pouvez inviter l'utilisateur à réautoriser votre application en définissant le paramètre prompt
sur consent
dans votre requête d'authentification. Lorsque prompt=consent
est inclus, l'écran de consentement s'affiche chaque fois que votre application demande une autorisation pour les champs d'application d'accès, même si tous les champs d'application ont déjà été accordés à votre projet d'API Google. Pour cette raison, n'incluez prompt=consent
que si nécessaire.
Pour en savoir plus sur le paramètre prompt
, consultez prompt
dans le tableau Paramètres de l'URI d'authentification.
Paramètres de l'URI d'authentification
Le tableau suivant fournit des descriptions plus complètes des paramètres acceptés par l'API d'authentification OAuth 2.0 de Google.
Paramètre | Obligatoire | Description |
---|---|---|
client_id |
(Obligatoire) | Chaîne d'ID client que vous obtenez à partir de , comme décrit dans la section Obtenir des identifiants OAuth 2.0. |
nonce |
(Obligatoire) | Valeur aléatoire générée par votre application qui active la protection contre le rejeu. |
response_type |
(Obligatoire) | Si la valeur est code , lance un flux de code d'autorisation de base, qui nécessite un POST au point de terminaison de jeton pour obtenir les jetons. Si la valeur est token id_token ou id_token token , lance un flux implicite, qui nécessite l'utilisation de JavaScript à l'URI de redirection pour récupérer les jetons à partir de l'identifiant #fragment de l'URI. |
redirect_uri |
(Obligatoire) | Détermine l'emplacement d'envoi de la réponse. La valeur de ce paramètre doit correspondre exactement à l'une des valeurs de redirection autorisées que vous définissez dans (y compris le schéma HTTP ou HTTPS, la casse et le caractère '/' à la fin, le cas échéant). |
scope |
(Obligatoire) | Le paramètre de portée doit commencer par la valeur Si la valeur de l'étendue Si la valeur de portée En plus de ces champs d'application OpenID, votre argument de champ d'application peut également inclure d'autres valeurs de champ d'application. Toutes les valeurs de champ d'application doivent être séparées par un espace. Par exemple, si vous souhaitez accéder à Google Drive d'un utilisateur par fichier, votre paramètre de champ d'application peut être Pour en savoir plus sur les champs d'application disponibles, consultez la section Champs d'application OAuth 2.0 pour les API Google ou la documentation de l'API Google que vous souhaitez utiliser. |
state |
(Facultatif, mais vivement recommandé) | Chaîne opaque qui est transmise en boucle dans le protocole, c'est-à-dire qu'elle est renvoyée en tant que paramètre URI dans le flux de base et dans l'identifiant URI
|
access_type |
(Facultatif) | Les valeurs autorisées sont offline et online . L'effet est documenté dans la section Accès hors connexion. Si un jeton d'accès est demandé, le client ne reçoit pas de jeton d'actualisation, sauf si une valeur de offline est spécifiée. |
display |
(Facultatif) | Valeur de chaîne ASCII permettant de spécifier comment le serveur d'autorisation affiche les pages d'interface utilisateur d'authentification et de consentement. Les valeurs suivantes sont spécifiées et acceptées par les serveurs Google, mais n'ont aucun effet sur leur comportement : page , popup , touch et wap . |
hd |
(Facultatif) | Simplifiez le processus de connexion pour les comptes appartenant à une organisation Google Cloud. En incluant le domaine de l'organisation Google Cloud (par exemple, mycollege.edu), vous pouvez indiquer que l'UI de sélection du compte doit être optimisée pour les comptes de ce domaine. Pour optimiser pour les comptes d'organisation Google Cloud en général au lieu d'un seul domaine d'organisation Google Cloud, définissez une valeur d'astérisque ( Ne vous appuyez pas sur cette optimisation de l'UI pour contrôler qui peut accéder à votre application, car les requêtes côté client peuvent être modifiées. Veillez à valider que le jeton d'ID renvoyé possède une valeur de revendication |
include_granted_scopes |
(Facultatif) | Si ce paramètre est fourni avec la valeur true et que la requête d'autorisation est accordée, l'autorisation inclura toutes les autorisations précédentes accordées à cette combinaison utilisateur/application pour d'autres champs d'application. Consultez la section Autorisation incrémentielle.
Notez que vous ne pouvez pas effectuer d'autorisation incrémentielle avec le flux d'application installée. |
login_hint |
(Facultatif) | Lorsque votre application sait quel utilisateur elle tente d'authentifier, elle peut fournir ce paramètre comme indice au serveur d'authentification. Transmettre cette astuce supprime le sélecteur de compte et préremplit la zone de saisie de l'adresse e-mail dans le formulaire de connexion, ou sélectionne la session appropriée (si l'utilisateur utilise la connexion multiple), ce qui peut vous aider à éviter les problèmes qui se produisent si votre application se connecte au mauvais compte utilisateur.
La valeur peut être une adresse e-mail ou la chaîne sub , qui équivaut à l'ID Google de l'utilisateur. |
prompt |
(Facultatif) | Liste de valeurs de chaîne séparées par des espaces qui spécifie si le serveur d'autorisation invite l'utilisateur à se réauthentifier et à donner son consentement. Les valeurs possibles sont les suivantes :
Si aucune valeur n'est spécifiée et que l'utilisateur n'a pas déjà autorisé l'accès, un écran de consentement s'affiche. |
Valider un jeton d'ID
Vous devez valider tous les jetons d'ID sur votre serveur, sauf si vous savez qu'ils proviennent directement de Google. Par exemple, votre serveur doit valider l'authenticité de tous les jetons d'ID qu'il reçoit de vos applications clientes.
Voici des situations courantes où vous pouvez envoyer des jetons d'ID à votre serveur:
- Envoyer des jetons d'ID avec des requêtes qui doivent être authentifiées Les jetons d'ID vous indiquent l'utilisateur spécifique à l'origine de la requête et le client pour lequel ce jeton d'ID a été accordé.
Les jetons d'ID sont sensibles et peuvent être utilisés de manière abusive s'ils sont interceptés. Vous devez vous assurer que ces jetons sont traités de manière sécurisée en les transmettant uniquement via HTTPS et uniquement via des données POST ou dans les en-têtes de requête. Si vous stockez des jetons d'identification sur votre serveur, vous devez également les stocker de manière sécurisée.
Les jetons d'ID sont utiles, car vous pouvez les transmettre aux différents composants de votre application. Ces composants peuvent utiliser un jeton d'ID comme mécanisme d'authentification léger pour authentifier l'application et l'utilisateur. Toutefois, avant de pouvoir utiliser les informations du jeton d'ID ou de vous y fier comme à une affirmation que l'utilisateur s'est authentifié, vous devez le valider.
La validation d'un jeton d'ID nécessite plusieurs étapes:
- Vérifiez que le jeton d'ID est correctement signé par l'émetteur. Les jetons émis par Google sont signés à l'aide de l'un des certificats trouvés à l'URI spécifié dans la valeur des métadonnées
jwks_uri
du document de découverte. - Vérifiez que la valeur de la revendication
iss
dans le jeton d'ID est égale àhttps://accounts.google.com
ouaccounts.google.com
. - Vérifiez que la valeur de la revendication
aud
dans le jeton d'ID est égale à l'ID client de votre application. - Vérifiez que la date d'expiration (requête
exp
) du jeton d'ID n'est pas passée. - Si vous avez spécifié une valeur de paramètre hd dans la requête, vérifiez que le jeton d'identité comporte une revendication
hd
correspondant à un domaine accepté associé à une organisation Google Cloud.
Les étapes 2 à 5 ne comportent que des comparaisons de chaînes et de dates, qui sont assez simples. Nous ne les détaillerons donc pas ici.
La première étape est plus complexe et implique la vérification de la signature cryptographique. À des fins de débogage, vous pouvez utiliser le point de terminaison tokeninfo
de Google pour comparer le traitement local implémenté sur votre serveur ou votre appareil. Supposons que la valeur de votre jeton d'ID soit XYZ123
. Vous devez ensuite désindexer l'URI https://oauth2.googleapis.com/tokeninfo?id_token=XYZ123
. Si la signature du jeton est valide, la réponse correspond à la charge utile JWT sous la forme d'objet JSON décodé.
Le point de terminaison tokeninfo
est utile pour le débogage, mais à des fins de production, récupérez les clés publiques de Google à partir du point de terminaison des clés et effectuez la validation localement. Vous devez récupérer l'URI des clés à partir du document de découverte à l'aide de la valeur de métadonnées jwks_uri
. Les requêtes adressées au point de terminaison de débogage peuvent être limitées ou sujettes à des erreurs intermittentes.
Étant donné que Google ne modifie ses clés publiques que rarement, vous pouvez les mettre en cache à l'aide des directives de cache de la réponse HTTP et, dans la grande majorité des cas, effectuer une validation locale beaucoup plus efficace qu'en utilisant le point de terminaison tokeninfo
. Cette validation nécessite de récupérer et d'analyser les certificats, et d'effectuer les appels cryptographiques appropriés pour vérifier la signature. Heureusement, il existe des bibliothèques bien déboguées disponibles dans de nombreux langages pour y parvenir (voir jwt.io).
Obtenir des informations sur le profil utilisateur
Pour obtenir des informations de profil supplémentaires sur l'utilisateur, vous pouvez utiliser le jeton d'accès (que votre application reçoit lors du flux d'authentification) et la norme OpenID Connect:
Pour être conforme à OpenID, vous devez inclure les valeurs de champ d'application
openid profile
dans votre requête d'authentification.Si vous souhaitez que l'adresse e-mail de l'utilisateur soit incluse, vous pouvez spécifier une valeur de portée supplémentaire de
email
. Pour spécifier à la foisprofile
etemail
, vous pouvez inclure le paramètre suivant dans l'URI de votre requête d'authentification:scope=openid%20profile%20email
- Ajoutez votre jeton d'accès à l'en-tête d'autorisation et envoyez une requête
GET
HTTPS au point de terminaison userinfo, que vous devez récupérer à partir du document de découverte à l'aide de la valeur de métadonnéesuserinfo_endpoint
. La réponse userinfo inclut des informations sur l'utilisateur, comme décrit dansOpenID Connect Standard Claims
et la valeur de métadonnéesclaims_supported
du document de découverte. Les utilisateurs ou leurs organisations peuvent choisir de fournir ou de ne pas fournir certains champs. Vous ne recevrez donc peut-être pas d'informations pour tous les champs de vos étendues d'accès autorisées.
Le document de découverte
Le protocole OpenID Connect nécessite l'utilisation de plusieurs points de terminaison pour authentifier les utilisateurs et pour demander des ressources, y compris des jetons, des informations utilisateur et des clés publiques.
Pour simplifier les implémentations et augmenter la flexibilité, OpenID Connect permet d'utiliser un "document de découverte", un document JSON disponible à un emplacement connu contenant des paires clé-valeur qui fournissent des informations sur la configuration du fournisseur OpenID Connect, y compris les URI des points de terminaison d'autorisation, de jeton, de révocation, d'informations utilisateur et de clés publiques. Le document de découverte du service OpenID Connect de Google peut être récupéré à l'adresse:
https://accounts.google.com/.well-known/openid-configuration
Pour utiliser les services OpenID Connect de Google, vous devez coder en dur l'URI du document de découverte (https://accounts.google.com/.well-known/openid-configuration
) dans votre application.
Votre application extrait le document, applique les règles de mise en cache dans la réponse, puis en récupère les URI de point de terminaison si nécessaire. Par exemple, pour authentifier un utilisateur, votre code récupère la valeur de métadonnées authorization_endpoint
(https://accounts.google.com/o/oauth2/v2/auth
dans l'exemple ci-dessous) comme URI de base pour les requêtes d'authentification envoyées à Google.
Voici un exemple de tel document. Les noms de champ sont ceux spécifiés dans OpenID Connect Discovery 1.0 (consultez ce document pour en savoir plus). Les valeurs sont purement illustratives et peuvent changer, bien qu'elles soient copiées à partir d'une version récente du document Google Discovery actuel:
{ "issuer": "https://accounts.google.com", "authorization_endpoint": "https://accounts.google.com/o/oauth2/v2/auth", "device_authorization_endpoint": "https://oauth2.googleapis.com/device/code", "token_endpoint": "https://oauth2.googleapis.com/token", "userinfo_endpoint": "https://openidconnect.googleapis.com/v1/userinfo", "revocation_endpoint": "https://oauth2.googleapis.com/revoke", "jwks_uri": "https://www.googleapis.com/oauth2/v3/certs", "response_types_supported": [ "code", "token", "id_token", "code token", "code id_token", "token id_token", "code token id_token", "none" ], "subject_types_supported": [ "public" ], "id_token_signing_alg_values_supported": [ "RS256" ], "scopes_supported": [ "openid", "email", "profile" ], "token_endpoint_auth_methods_supported": [ "client_secret_post", "client_secret_basic" ], "claims_supported": [ "aud", "email", "email_verified", "exp", "family_name", "given_name", "iat", "iss", "locale", "name", "picture", "sub" ], "code_challenge_methods_supported": [ "plain", "S256" ] }
Vous pouvez éviter un aller-retour HTTP en mettant en cache les valeurs du document de découverte. Les en-têtes de mise en cache HTTP standards sont utilisés et doivent être respectés.
Bibliothèques clientes
Les bibliothèques clientes suivantes simplifient l'implémentation d'OAuth 2.0 en s'intégrant à des frameworks populaires:
- Bibliothèque cliente des API Google pour Java
- Bibliothèque cliente des API Google pour Python
- Bibliothèque cliente des API Google pour .NET
- Bibliothèque cliente des API Google pour Ruby
- Bibliothèque cliente des API Google pour PHP
- Bibliothèque OAuth 2.0 pour Google Web Toolkit
- Outils Google pour Mac : contrôleurs OAuth 2.0
Conformité avec OpenID Connect
Le système d'authentification OAuth 2.0 de Google est compatible avec les fonctionnalités requises de la spécification OpenID Connect Core. Tout client conçu pour fonctionner avec OpenID Connect doit interagir avec ce service (à l'exception de l'objet de requête OpenID).