OAuth 연결 유형은 두 가지 업계 표준 OAuth 2.0 흐름인 암시적 및 승인 코드 흐름을 지원합니다.
在隐式代码流程中,Google 会在用户浏览器中打开您的授权端点。成功登录后,系统会向 Google 返回长期访问令牌。现在,从 Google 助理向你的 Action 发送的每个请求中都包含此访问令牌。
在授权代码流程中,您需要两个端点:
- 授权端点,该端点负责向尚未登录的用户显示登录界面,并以短期授权代码的形式记录所请求的访问。
- 令牌交换端点,负责两种类型的交换:
- 将授权代码交换为长期刷新令牌和短期访问令牌。用户完成帐号关联流程后,系统会进行这种交换。
- 将长期刷新令牌换成短期访问令牌。Google 需要新访问令牌时,由于此令牌已过期,因此会进行此交换。
虽然隐式代码流程的实现更简单,但 Google 建议通过隐式流程发出的访问令牌永远不会过期,因为将令牌过期与隐式流程一起使用会强制用户再次关联其帐号。如果出于安全考虑需要令牌到期,强烈建议您考虑使用身份验证代码流程。
OAuth 계정 연결 구현
프로젝트 구성
OAuth 연결을 사용하도록 프로젝트를 구성하려면 다음 단계를 따르세요.
- Actions 콘솔을 열고 사용할 프로젝트를 선택합니다.
- 개발 탭을 클릭하고 계정 연결을 선택합니다.
- 계정 연결 옆에 있는 스위치를 사용 설정합니다.
- 계정 생성 섹션에서 아니요, 내 웹사이트에서만 계정 생성을 허용하고 싶습니다를 선택합니다.
연결 유형에서 OAuth 및 암시적을 선택합니다.
클라이언트 정보:
- Google에 대한 작업에서 발급한 클라이언트 ID에 값을 할당하여 Google에서 들어오는 요청을 식별합니다.
- 승인 및 토큰 교환 엔드포인트의 URL을 삽입합니다.
- 저장을 클릭합니다.
OAuth 서버 구현
为了支持 OAuth 2.0 隐式流程,您的服务会进行授权 端点。此端点负责 就数据访问征得用户同意。授权端点 向尚未登录的用户显示登录界面,并记录 同意所请求的访问。
当您的 Action 需要调用您的某项授权的 API 时,Google 会使用 此端点来获得用户许可,以在其上调用这些 API 。
由 Google 发起的典型 OAuth 2.0 隐式流会话具有以下特征: 以下流程:
- Google 会在用户的浏览器中打开您的授权端点。通过 如果用户尚未登录,则可以登录,并且授予 Google 访问 通过您的 API 访问其数据(如果尚未授予权限)。
- 您的服务会创建一个访问令牌并将其返回给 通过使用访问令牌将用户的浏览器重定向回 Google, 附件。
- Google 调用您的服务的 API,并使用 。您的服务会验证访问令牌是否向 Google 授予 访问 API 的授权,然后完成 API 调用。
处理授权请求
当您的 Action 需要通过 OAuth 2.0 隐式流程执行账号关联时, Google 会通过包含以下内容的请求将用户发送到您的授权端点: 以下参数:
| 授权端点参数 | |
|---|---|
client_id |
您分配给 Google 的客户 ID。 |
redirect_uri |
此请求的响应发送到的网址。 |
state |
将一个在 重定向 URI。 |
response_type |
要在响应中返回的值的类型。对于 OAuth 2.0 隐式
则响应类型始终为 token。 |
例如,如果您的授权端点可通过 https://myservice.example.com/auth 访问,
请求可能如下所示:
GET https://myservice.example.com/auth?client_id=GOOGLE_CLIENT_ID&redirect_uri=REDIRECT_URI&state=STATE_STRING&response_type=token
为了让授权端点能够处理登录请求,请执行以下步骤:
验证
client_id和redirect_uri值, 防止向意外或配置错误的客户端应用授予访问权限:- 确认
client_id是否与您的客户端 ID 匹配 分配给 Google。 - 确认
redirect_uri指定的网址 参数的格式如下:https://oauth-redirect.googleusercontent.com/r/YOUR_PROJECT_ID
- 确认
检查用户是否已登录您的服务。如果用户未登录 中,完成服务的登录或注册流程。
生成 Google 将用于访问您的 API 的访问令牌。通过 访问令牌可以是任何字符串值,但必须唯一地表示 令牌对应的用户和客户端,且不得被猜到。
发送 HTTP 响应,将用户浏览器重定向到相应网址 由
redirect_uri参数指定。添加所有 以下参数:access_token:您刚刚生成的访问令牌token_type:字符串bearerstate:原始状态的未修改状态值 请求 以下是生成的网址示例:https://oauth-redirect.googleusercontent.com/r/YOUR_PROJECT_ID#access_token=ACCESS_TOKEN&token_type=bearer&state=STATE_STRING
Google 的 OAuth 2.0 重定向处理程序将收到访问令牌并确认
state 值没有更改。在 Google 获得
访问令牌,则 Google 会将该令牌附加到后续调用
作为 AppRequest 的一部分添加到您的 Action。
인증 흐름의 음성 사용자 인터페이스 설계
사용자가 인증되었는지 확인하고 계정 연결 흐름 시작
- Actions 콘솔에서 Actions Builder 프로젝트를 엽니다.
- 작업에서 계정 연결을 시작할 새 장면을 만듭니다.
- 장면을 클릭합니다.
- 추가 (+) 아이콘을 클릭하여 새 장면을 추가합니다.
- 새로 만든 장면에서 조건의 추가 add 아이콘을 클릭합니다.
- 대화와 연결된 사용자가 인증된 사용자인지 확인하는 조건을 추가합니다. 확인이 실패하면 작업이 대화 중에 계정 연결을 실행할 수 없으며 계정 연결이 필요하지 않은 기능에 대한 액세스를 제공하도록 대체해야 합니다.
- 조건 아래의
Enter new expression필드에 다음 논리를 입력합니다.user.verificationStatus != "VERIFIED" - 전환에서 계정 연결이 필요하지 않은 장면이나 게스트 전용 기능의 진입점인 장면을 선택합니다.
- 조건 아래의
- 조건의 추가 add 아이콘을 클릭합니다.
- 사용자에게 연결된 ID가 없는 경우 계정 연결 흐름을 트리거하는 조건을 추가합니다.
- 조건 아래의
Enter new expression필드에 다음 논리를 입력합니다.user.verificationStatus == "VERIFIED" - 전환에서 계정 연결 시스템 장면을 선택합니다.
- 저장을 클릭합니다.
- 조건 아래의
저장하면 <SceneName>_AccountLinking라는 새 계정 연결 시스템 장면이 프로젝트에 추가됩니다.
계정 연결 장면 맞춤설정
- 장면에서 계정 연결 시스템 장면을 선택합니다.
- 프롬프트 보내기를 클릭하고 작업에서 사용자의 ID에 액세스해야 하는 이유를 설명하는 짧은 문장을 추가합니다 (예: '환경설정을 저장하기 위해').
- 저장을 클릭합니다.
- 조건에서 사용자가 계정 연결을 완료한 경우를 클릭합니다.
- 사용자가 계정 연결에 동의하는 경우 흐름이 진행되는 방식을 구성합니다. 예를 들어 필요한 맞춤 비즈니스 로직을 처리하고 원래 장면으로 다시 전환하기 위해 웹훅을 호출합니다.
- 저장을 클릭합니다.
- 조건에서 사용자가 계정 연결을 취소하거나 닫는 경우를 클릭합니다.
- 사용자가 계정 연결에 동의하지 않는 경우 흐름이 어떻게 진행되어야 하는지 구성합니다. 예를 들어 확인 메시지를 보내고 계정 연결이 필요하지 않은 기능을 제공하는 장면으로 리디렉션합니다.
- 저장을 클릭합니다.
- 조건에서 시스템 또는 네트워크 오류가 발생하는 경우를 클릭합니다.
- 시스템 또는 네트워크 오류로 인해 계정 연결 흐름을 완료할 수 없는 경우 흐름이 진행되는 방식을 구성합니다. 예를 들어 확인 메시지를 보내고 계정 연결이 필요하지 않은 기능을 제공하는 장면으로 리디렉션합니다.
- 저장을 클릭합니다.
데이터 액세스 요청 처리
어시스턴트 요청에 액세스 토큰이 포함된 경우 먼저 액세스 토큰이 유효한지 (만료되지 않음) 확인한 다음 데이터베이스에서 연결된 사용자 계정을 가져옵니다.