このページは Cloud Translation API によって翻訳されました。

OAuth による Google アカウントのリンク

アカウントは、業界標準の OAuth 2.0 インプリシットフローと認可コードフローを使用してリンクされます。サービスは、OAuth 2.0 準拠の認可エンドポイントとトークン交換エンドポイントをサポートする必要があります。

暗黙的フローでは、Google がデベロッパーのブラウザで認可エンドポイントを開きます。ログインに成功したら、認可エンドポイントから長期のアクセストークンを Google に返します。このアクセストークンは、Google から送信されるすべてのリクエストに含まれます。

認証コードフローでは、次の 2 つのエンドポイントが必要になります。

認可エンドポイント。ログインしていないユーザーにログイン用の UI を表示します。認可エンドポイントは、リクエストされたアクセスに対するユーザーの同意を記録するために、有効期間の短い認可コードも作成します。
トークン交換エンドポイント。次の 2 種類の交換を行います。
1. 長期の更新トークンと短期のアクセストークンの認可コードを交換します。この処理は、ユーザーがアカウントのリンクフローを行ったときに発生します。
2. 長期の更新トークンを短期のアクセストークンと交換します。この処理は、トークンが期限切れになり、新しいアクセストークンが必要になった場合に発生します。

OAuth 2.0 フローを選択する

暗黙的フローの実装は簡単ですが、暗黙的フローによって発行されたアクセストークンには有効期限を設定しないことをおすすめします。これは、暗黙的フローでトークンが期限切れになると、ユーザーがアカウントを再度リンクしなければならないためです。セキュリティ上の理由からトークンに有効期限を設定する必要がある場合は、代わりに認可コードフローを使用することを強くおすすめします。

設計ガイドライン

このセクションでは、OAuth リンクフロー用にホストするユーザー画面の設計要件と推奨事項について説明します。Google のアプリから呼び出されると、プラットフォームはユーザーに Google にログインするページとアカウントのリンクに関する同意画面を表示します。アカウントのリンクに同意すると、ユーザーは Google のアプリに戻されます。

この図は、ユーザーが自身の Google アカウントをデベロッパーの認証システムにリンクする手順を示しています。最初のスクリーンショットは、プラットフォームからユーザーが開始するリンクを示しています。2 つ目の画像は Google へのユーザーのログインを示しています。3 つ目の画像は、Google アカウントとアプリをリンクすることに対するユーザーの同意と確認を示しています。最後のスクリーンショットは、Google アプリでユーザーアカウントが正常にリンクされた状態を示しています。 — **図 1.** アカウントリンクのユーザーが Google にログインする画面と同意画面。

要件

ユーザーのアカウントは、Google Home や Google アシスタントなどの特定の Google プロダクトではなく、Google にリンクされることを伝える必要があります。

推奨事項

次のことをおすすめします。

Google のプライバシーポリシーを表示する。同意画面に Google のプライバシーポリシーへのリンクを含めます。
共有するデータ。明確で簡潔な表現を使用して、Google に必要なデータとその理由をユーザーに伝えます。
行動を促す明確なフレーズ同意画面に「同意してリンク」など、わかりやすい行動を促すフレーズを表示します。これは、アカウントをリンクするために Google と共有する必要があるデータをユーザーが理解する必要があるためです。
キャンセルできること。ユーザーがリンクしないことを選択した場合に、ユーザーが戻るまたはキャンセルできる方法を提供します。
ログインプロセスを明確にする。ユーザーが Google アカウントにログインするための明確な方法（ユーザー名とパスワードのフィールド、Google でログインなど）があることを確認します。
リンクを解除できること。ユーザーがリンクを解除するためのメカニズム（プラットフォームのアカウント設定への URL など）を提供します。または、ユーザーがリンクされたアカウントを管理できる Google アカウントへのリンクを含めることもできます。
ユーザーアカウントを変更する機能。ユーザーがアカウントを切り替える方法を提案します。これは、ユーザーが複数のアカウントを持っている場合に特に便利です。
- ユーザーがアカウントを切り替えるために同意画面を閉じる必要がある場合は、回復可能なエラーを Google に送信して、ユーザーが OAuth リンクと暗黙的フローを使用して目的のアカウントにログインできるようにします。
ロゴを含めます。同意画面に会社のロゴを表示します。スタイルガイドラインに沿ってロゴを配置します。Google のロゴも表示する場合は、ロゴと商標をご覧ください。

プロジェクトを作成する

アカウントのリンクを使用するプロジェクトを作成するには:

OAuth 同意画面を構成する

Google アカウントのリンクのプロセスには、データへのアクセスをリクエストするアプリがユーザーに対し、どのようなデータを要求し、適用される規約があるかを伝える同意画面が含まれます。Google API クライアント ID を生成する前に、OAuth 同意画面を構成する必要があります。

Google API コンソールの OAuth 同意画面ページを開きます。
プロンプトが表示されたら、作成したプロジェクトを選択します。
[OAuth 同意画面] ページで、フォームに記入して [保存] ボタンをクリックします。

アプリケーション名: 同意を求めるアプリの名前。名前は、アプリを正確に反映し、ユーザーが他の場所で目にするアプリ名と一貫している必要があります。アプリケーション名は、アカウントのリンクの同意画面に表示されます。

アプリのロゴ: ユーザーがアプリを認識できるように、同意画面に表示する画像。ロゴは、アカウントのリンクに関する同意画面とアカウント設定に表示されます。

サポートメール: ユーザーが同意について問い合わせる際に使用するメールです。

Google API のスコープ: スコープを使用すると、アプリケーションがユーザーの非公開の Google データにアクセスできるようになります。Google アカウントのリンクのユースケースでは、デフォルトのスコープ（email、profile、openid）で十分であり、機密性の高いスコープを追加する必要はありません。通常、事前にではなく、アクセスが必要になったときにスコープを段階的にリクエストすることをおすすめします。詳細

承認済みドメイン: デベロッパーとユーザーを保護するため、Google では OAuth を使用して認証するアプリケーションのみに承認済みドメインの使用を許可しています。アプリのリンクは、承認済みドメインでホストする必要があります。詳細

アプリケーションのホームページへのリンク: アプリケーションのホームページ。承認済みドメインでホストされている必要があります。

アプリケーションのプライバシーポリシーのリンク: Google アカウントのリンクの同意画面に表示されます。承認済みドメインでホストされている必要があります。

アプリケーションの利用規約へのリンク（省略可）: 承認済みドメインでホストされている必要があります。

図 1. 架空のアプリ「Tunery」の Google アカウントのリンクに関する同意画面
[確認ステータス] を確認します。アプリの確認が必要な場合は、[確認のために送信] ボタンをクリックして確認のためにアプリを送信します。詳しくは、OAuth 検証の要件をご覧ください。

OAuth サーバーを実装する

授权代码流程的 OAuth 2.0 服务器实现包括两个端点，您的服务会通过 HTTPS 提供这两个端点。第一个端点是授权端点，负责查找或获取就数据访问征求用户意见。授权端点会提供一个尚未登录的用户的登录界面，并记录同意情况请求的访问权限。第二个端点是令牌交换端点，用于获取加密字符串（称为令牌），以授权用户访问您的服务。

当 Google 应用需要调用您的某个服务的 API 时，Google 会使用将这些端点组合在一起，以获取用户调用这些 API 的权限。

由 Google 发起的 OAuth 2.0 授权代码流程会话包含以下流程：

Google 会在用户的浏览器中打开您的授权端点。如果流在用户通过纯语音设备上针对某个 Action 启动，Google 会将将代码执行到手机上
用户登录（如果尚未登录），并授予 Google 以下权限：访问您的 API 访问其数据（如果尚未授权）。
您的服务会创建授权代码并将其返回给 Google。待办事项因此，请使用授权代码将用户的浏览器重定向回 Google。附件。
Google 会将授权代码发送到您的令牌交换端点，验证代码的真实性并返回访问令牌和 刷新令牌。访问令牌是一个短期有效的令牌作为访问 API 的凭据。刷新令牌长期有效 Google 可以存储该令牌，以便在用户首次访问该令牌时，过期。
在用户完成账号关联流程后，从 Google 发送的请求中包含访问令牌。

处理授权请求

需要使用 OAuth 2.0 授权代码执行账号关联的情况流程中，Google 会通过请求将用户发送到您的授权端点包含以下参数：

授权端点参数
`client_id`	您分配给 Google 的客户 ID。
`redirect_uri`	此请求的响应发送到的网址。
`state`	将一个在重定向 URI。
`scope`	可选：一组以空格分隔的范围字符串，用于指定 Google 请求授权的数据
`response_type`	要在响应中返回的值的类型。对于 OAuth 2.0 授权代码流程中，响应类型始终为 `code`。
`user_locale`	“Google 账号语言设置” RFC5646 格式，用于将您的内容本地化为用户首选语言。

例如，如果您的授权端点位于 https://myservice.example.com/auth 时，请求可能如下所示：

GET https://myservice.example.com/auth?client_id=GOOGLE_CLIENT_ID&redirect_uri=REDIRECT_URI&state=STATE_STRING&scope=REQUESTED_SCOPES&response_type=code&user_locale=LOCALE

为了让授权端点能够处理登录请求，请执行以下操作步骤：

验证 client_id 是否与您分配给 Google 的 Client ID 匹配，以及 redirect_uri 与 Google 为您的服务提供的重定向网址是否匹配。这些检查对于防止访问意外或配置错误的客户端应用。如果你支持多种 OAuth 2.0 流程，还应确认 response_type 是否为 code。
检查用户是否已登录您的服务。如果用户没有登录，完成服务的登录或注册流程。
生成授权代码，以供 Google 用于访问您的 API。授权代码可以是任何字符串值，但它必须是唯一的代表用户、令牌对应的客户端以及代码的有效期而且不可猜测出来。您通常需要进行授权会在大约 10 分钟后过期。

确认 redirect_uri 参数指定的网址包含以下表单：

  https://oauth-redirect.googleusercontent.com/r/YOUR_PROJECT_ID
  https://oauth-redirect-sandbox.googleusercontent.com/r/YOUR_PROJECT_ID

将用户的浏览器重定向到 redirect_uri 参数。添加您在以及您在重定向时返回未经修改的原始状态值方法是附加 code 和 state 参数。以下是生成的网址示例：
```
https://oauth-redirect.googleusercontent.com/r/YOUR_PROJECT_ID?code=AUTHORIZATION_CODE&state=STATE_STRING
```

处理令牌交换请求

您的服务的令牌交换端点负责处理两种令牌广告交易平台：

交换访问令牌和刷新令牌的授权代码
用刷新令牌换取访问令牌

令牌交换请求包含以下参数：

令牌交换端点参数
`client_id`	用于将请求来源标识为 Google 的字符串。此字符串必须在您的系统中注册为 Google 的唯一标识符。
`client_secret`	您在 Google 中为您的服务注册的密钥字符串。
`grant_type`	所交换的令牌的类型。是 `authorization_code` 或 `refresh_token`。
`code`	如果值为 `grant_type=authorization_code`，则此参数为 Google 通过您的登录或令牌交换收到的代码端点。
`redirect_uri`	如果值为 `grant_type=authorization_code`，则此参数为初始授权请求中使用的网址。
`refresh_token`	如果值为 `grant_type=refresh_token`，则此参数为刷新令牌 Google 从您的令牌交换端点收到的令牌。

交换访问令牌和刷新令牌的授权代码

用户登录且您的授权端点返回一个短期有效的授权代码发送给 Google，Google 会向您的令牌交换发送请求端点使用授权代码交换访问令牌和刷新令牌。

对于这些请求，grant_type 的值为 authorization_code，的 code 值是您先前授予的授权代码的值。以下是发送访问令牌和刷新令牌的授权代码：

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET&grant_type=authorization_code&code=AUTHORIZATION_CODE&redirect_uri=REDIRECT_URI

要将授权代码交换为访问令牌和刷新令牌，您的令牌交换端点通过执行以下命令来响应 POST 请求：步骤：

验证 client_id 是否将请求来源标识为已获授权的请求来源来源，并且 client_secret 与预期值匹配。
请确认授权代码有效且未过期，请求中指定的客户端 ID 与授权代码。
确认 redirect_uri 参数指定的网址完全相同初始授权请求中使用的值。
如果您无法验证上述所有条件，则返回 HTTP 正文为 {"error": "invalid_grant"} 的 400 Bad Request 错误。
否则，使用授权代码中的用户 ID 来生成刷新令牌和访问令牌。这些标记可以是任何字符串值，必须唯一地代表用户和令牌对应的客户端，不得被猜到对于访问令牌，请记录令牌，通常是在您发出令牌一个小时后。刷新令牌不会过期。

在 HTTPS 响应的正文中返回以下 JSON 对象：

{
"token_type": "Bearer",
"access_token": "ACCESS_TOKEN",
"refresh_token": "REFRESH_TOKEN",
"expires_in": SECONDS_TO_EXPIRATION
}

Google 会存储用户的访问令牌和刷新令牌，并存储相关记录访问令牌的有效期。访问令牌过期后，Google 会使用刷新令牌，以从令牌交换端点获取新的访问令牌。

用刷新令牌换取访问令牌

访问令牌过期后，Google 会向您的令牌交换发送请求端点将刷新令牌交换为新的访问令牌。

对于这些请求，grant_type 的值为 refresh_token，值 “refresh_token”是您之前授予的刷新令牌的值 Google。以下是交换刷新令牌的请求示例获取访问令牌：

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET&grant_type=refresh_token&refresh_token=REFRESH_TOKEN

如需将刷新令牌交换为访问令牌，令牌交换端点来响应 POST 请求：

验证 client_id 是否将请求来源标识为 Google，并 client_secret 与预期值一致。
请确认刷新令牌有效，以及在请求与刷新令牌所关联的客户端 ID 相匹配。
如果您无法验证上述所有条件，则返回 HTTP 400 正文为 {"error": "invalid_grant"} 的 Bad Request 错误。
否则，请使用刷新令牌中的用户 ID 来生成访问权限令牌。这些标记可以是任何字符串值，但它们必须是唯一的代表用户和客户端，而不得猜测。对于访问令牌，请记录令牌的到期时间，通常在您发出令牌一小时后发送

在 HTTPS 的正文中返回以下 JSON 对象回答：

{
"token_type": "不记名",
"access_token": "ACCESS_TOKEN",
“expires_in”：SECONDS_TO_EXPIRATION
}

。

userinfo リクエストを処理する

userinfo エンドポイントは、OAuth 2.0 で保護されたリソースで、リンクされたユーザーに関するクレームを返します。userinfo エンドポイントの実装とホストは任意ですが、以下のユースケースを除きます。

Google One タップによるリンクされたアカウントへのログイン。
Android TV のスムーズな定期購入。

トークンエンドポイントからアクセストークンが正常に取得されると、Google は、リンクされたユーザーに関する基本的なプロフィール情報を取得するためのリクエストを userinfo エンドポイントに送信します。

userinfo エンドポイントリクエストヘッダー
`Authorization header`	Bearer タイプのアクセストークン。

たとえば、userinfo エンドポイントが https://myservice.example.com/userinfo の場合、リクエストは次のようになります。

GET /userinfo HTTP/1.1
Host: myservice.example.com
Authorization: Bearer ACCESS_TOKEN

userinfo エンドポイントでリクエストを処理するには、次の手順を行います。

Authorization ヘッダーからアクセストークンを抽出し、そのアクセストークンに関連付けられたユーザーの情報を返します。
アクセストークンが無効な場合は、WWW-Authenticate レスポンスヘッダーを使用して HTTP 401 Unauthorized エラーを返します。userinfo エラーレスポンスの例を次に示します。
```
HTTP/1.1 401 Unauthorized
WWW-Authenticate: error="invalid_token",
error_description="The Access Token expired"
```
リンク処理中に 401 Unauthorized またはその他の失敗したエラーレスポンスが返された場合、そのエラーは修復不能となり、取得したトークンは破棄されるため、ユーザーはリンク処理をやり直す必要があります。

アクセストークンが有効な場合は、HTTPS の本文に次の JSON オブジェクトを含む HTTP 200 レスポンスを返します。レスポンス:

{
"sub": "USER_UUID",
"email": "EMAIL_ADDRESS",
"given_name": "FIRST_NAME",
"family_name": "LAST_NAME",
"name": "FULL_NAME",
"picture": "PROFILE_PICTURE",
}

userinfo エンドポイントが HTTP 200 成功レスポンスを返すと、取得したトークンとクレームがユーザーの Google アカウントに登録されます。

userinfo エンドポイントレスポンス
`sub`	システム内でユーザーを識別する一意の ID。
`email`	ユーザーのメールアドレス。
`given_name`	省略可: ユーザーの名。
`family_name`	省略可: ユーザーの姓。
`name`	省略可: ユーザーの氏名。
`picture`	省略可: ユーザーのプロフィール写真。

実装の検証

実装を検証するには、OAuth 2.0 Playground ツールを使用します。

ツールで、次の操作を行います。

[Configuration] をクリックして [OAuth 2.0 Configuration] ウィンドウを開きます。
[OAuth flow] フィールドで、[Client-side] を選択します。
[OAuth Endpoints]（OAuth エンドポイント）で、[Custom]（カスタム）を選択します。
対応するフィールドに、OAuth 2.0 エンドポイントと Google に割り当てたクライアント ID を指定します。
[ステップ 1] セクションで、Google スコープは選択しないでください。代わりに、このフィールドを空白のままにするか、サーバーで有効なスコープを入力します（OAuth スコープを使用しない場合は任意の文字列を入力します）。完了したら、[API を承認] をクリックします。
ステップ 2 とステップ 3 のセクションで OAuth 2.0 フローを実行し、各ステップが意図したとおりに機能することを確認します。

実装を検証するには、Google アカウントリンクのデモツールを使用します。

ツールで次の操作を行います。

[Google でログイン] ボタンをクリックします。
リンクするアカウントを選択します。
サービス ID を入力します。
必要に応じて、アクセスをリクエストするスコープを 1 つ以上入力します。
[デモを開始] をクリックします。
リンクリクエストに同意できることを確認して、リクエストを拒否します。
プラットフォームにリダイレクトされることを確認します。