Uproszczone łączenie za pomocą protokołu OAuth i logowania przez Google

Omówienie

Uproszczone łączenie z logowaniem przez Google za pomocą protokołu OAuth – oprócz tego dodaliśmy Logowanie przez Google Łączenie przez OAuth. Pozwala to na bezproblemowe łączenie użytkowników usług Google, a także umożliwia tworzenie kont, dzięki czemu użytkownik może utworzyć nowe konto w usłudze za pomocą swojego konta Google.

Aby wykonać łączenie kont za pomocą protokołu OAuth i logowania przez Google, postępuj zgodnie z tymi ogólnymi wskazówkami kroki:

  1. Najpierw poproś użytkownika o zgodę na dostęp do jego profilu Google.
  2. Użyj informacji z profilu użytkownika, aby sprawdzić, czy konto użytkownika istnieje.
  3. Istniejący użytkownicy: połącz konta.
  4. Jeśli nie możesz znaleźć dopasowania użytkownika Google w swoim systemie uwierzytelniania, weryfikacji tokena tożsamości otrzymanego od Google. Następnie możesz utworzyć na informacjach o profilu zawartych w tokenie tożsamości.
Ilustracja przedstawia czynności, które użytkownik musi wykonać, aby połączyć swoje konto Google za pomocą uproszczonego procesu łączenia. Pierwszy zrzut ekranu pokazuje, jak użytkownik może wybrać aplikację do połączenia. Drugi zrzut ekranu pozwala użytkownikowi sprawdzić, czy ma już konto w Twojej usłudze. Trzeci zrzut ekranu pozwala użytkownikowi wybrać konto Google, z którym chce utworzyć połączenie. Na czwartym zrzucie ekranu widać potwierdzenie połączenia konta Google z Twoją aplikacją. Piąty zrzut ekranu przedstawia prawidłowo połączone konto użytkownika w aplikacji Google.

Rysunek 1. Łączenie kont na telefonie użytkownika dzięki uproszczonemu łączeniu

Wymagania dotyczące uproszczonego łączenia

. .

Wdróż serwer OAuth

Punkt końcowy token Exchange musi obsługiwać intencje check, create, get. Poniżej widać czynności wykonane w ramach procesu łączenia kont i wskazuje, kiedy są wywoływane różne intencje:

  1. Czy użytkownik ma konto w Twoim systemie uwierzytelniania? (Użytkownik decyduje, wybierając TAK lub NIE)
    1. TAK : Czy użytkownik używa adresu e-mail powiązanego z kontem Google do logowania się na Twojej platformie? (Użytkownik decyduje, wybierając TAK lub NIE)
      1. TAK : Czy użytkownik ma pasujące konto w Twoim systemie uwierzytelniania? (Dzwoni check intent, aby potwierdzić)
          .
        1. TAK : jeśli nastąpi zwrot intencji, wywoływana jest metoda get intent, a konto jest połączone.
        2. NIE : Utworzyć nowe konto? (Użytkownik decyduje, wybierając TAK lub NIE)
          1. TAK : jeśli nastąpi zwrot intencji, wywoływana jest metoda create intent, a konto jest połączone.
          2. NIE : uruchamiany jest przepływ internetowego protokołu OAuth, użytkownik jest kierowany do przeglądarki, a także może wybrać opcję połączenia za pomocą innego adresu e-mail.
      2. NIE : uruchamiany jest proces Web OAuth, użytkownik jest kierowany do przeglądarki, a także może wybrać opcję połączenia za pomocą innego adresu e-mail.
    2. NIE : Czy użytkownik ma pasujące konto w Twoim systemie uwierzytelniania? (Dzwoni check intent, aby potwierdzić)
        .
      1. TAK : jeśli nastąpi zwrot intencji, wywoływana jest metoda get intent, a konto jest połączone.
      2. NIE : jeśli nastąpi zwrot intencji, wywoływana jest metoda create intent, a konto jest połączone.

检查现有用户账号(检查 intent)

在用户同意访问其 Google 个人资料后,Google 会发送 请求,其中包含 Google 用户身份的已签名断言。通过 断言包含的信息包括用户的 Google 账号 ID、 姓名和电子邮件地址为您的 Google Cloud 控制台配置的令牌交换端点 项目处理该请求。

如果您的身份验证中已有相应的 Google 账号 系统时,您的令牌交换端点会返回 account_found=true。如果 Google 账号与现有用户不匹配,您的令牌交换端点 返回“HTTP 404 Not Found”错误以及 account_found=false

请求的格式如下:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&intent=check&assertion=JWT&scope=SCOPES&client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET

您的令牌交换端点必须能够处理以下参数:

令牌端点参数
intent 对于这些请求,此参数的值为 check
grant_type 所交换的令牌的类型。对于这类请求 参数的值为 urn:ietf:params:oauth:grant-type:jwt-bearer
assertion 一个 JSON Web 令牌 (JWT),提供 Google 用户身份。JWT 包含的信息包括用户 Google 账号 ID、姓名和电子邮件地址。
client_id 您分配给 Google 的客户 ID。
client_secret 您分配给 Google 的客户端密钥。

如需响应 check intent 请求,您的令牌交换端点必须执行以下步骤:

  • 验证和解码 JWT 断言。
  • 检查您的身份验证系统中是否已存在该 Google 账号。
Validate and decode the JWT assertion

You can validate and decode the JWT assertion by using a JWT-decoding library for your language. Use Google's public keys, available in JWK or PEM formats, to verify the token's signature.

When decoded, the JWT assertion looks like the following example: 

{
  "sub": "1234567890",      // The unique ID of the user's Google Account
  "iss": "https://accounts.google.com",        // The assertion's issuer
  "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID
  "iat": 233366400,         // Unix timestamp of the assertion's creation time
  "exp": 233370000,         // Unix timestamp of the assertion's expiration time
  "name": "Jan Jansen",
  "given_name": "Jan",
  "family_name": "Jansen",
  "email": "jan@gmail.com", // If present, the user's email address
  "email_verified": true,   // true, if Google has verified the email address
  "hd": "example.com",      // If present, the host domain of the user's GSuite email address
                            // If present, a URL to user's profile picture
  "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ",
  "locale": "en_US"         // User's locale, from browser or phone settings
}

In addition to verifying the token's signature, verify that the assertion's issuer (iss field) is https://accounts.google.com, that the audience (aud field) is your assigned client ID, and that the token has not expired (exp field).

Using the email, email_verified and hd fields you can determine if Google hosts and is authoritative for an email address. In cases where Google is authoritative the user is currently known to be the legitimate account owner and you may skip password or other challenges methods. Otherwise, these methods can be used to verify the account prior to linking.

Cases where Google is authoritative:

  • email has a @gmail.com suffix, this is a Gmail account.
  • email_verified is true and hd is set, this is a G Suite account.

Users may register for Google Accounts without using Gmail or G Suite. When email does not contain a @gmail.com suffix and hd is absent Google is not authoritative and password or other challenge methods are recommended to verify the user. email_verified can also be true as Google initially verified the user when the Google account was created, however ownership of the third party email account may have since changed.

检查您的身份验证系统中是否已存在该 Google 账号

请检查以下任一条件是否成立:

  • Google 账号 ID(可在断言的 sub 字段中找到)位于您的用户中 数据库。
  • 断言中的电子邮件地址与用户数据库中的用户匹配。

如果满足上述任一条件,则表明用户已注册。在这种情况下 返回如下所示的响应:

HTTP/1.1 200 Success
Content-Type: application/json;charset=UTF-8

{
  "account_found":"true",
}

如果 Google 账号 ID 和 断言与您的数据库中的用户匹配,该用户尚未注册。在 在这种情况下,您的令牌交换端点需要返回 HTTP 404 错误 指定 "account_found": "false",如以下示例所示:

HTTP/1.1 404 Not found
Content-Type: application/json;charset=UTF-8

{
  "account_found":"false",
}

Obsługa automatycznego łączenia (pobieranie intencji)

Gdy użytkownik wyrazi zgodę na dostęp do jego profilu Google, Google wysyła żądania, które zawiera podpisane potwierdzenie tożsamości użytkownika Google. asercja zawiera informacje obejmujące identyfikator konta Google użytkownika, imię i nazwisko oraz adres e-mail. Punkt końcowy wymiany tokenów skonfigurowany dla Twojego które obsługuje projekt.

Jeśli odpowiednie konto Google jest już używane podczas uwierzytelniania system, punkt końcowy wymiany tokenów zwraca token użytkownika. Jeśli Konto Google nie pasuje do istniejącego użytkownika lub punktu końcowego wymiany tokenów zwraca błąd linking_error i opcjonalny login_hint.

Prośba ma taki format:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&intent=get&assertion=JWT&scope=SCOPES&client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET

Punkt końcowy wymiany tokenów musi obsługiwać te parametry:

Parametry punktu końcowego tokena
intent W przypadku tych żądań wartość tego parametru wynosi get.
grant_type Typ wymienianego tokena. W przypadku tych żądań ma wartość urn:ietf:params:oauth:grant-type:jwt-bearer.
assertion Token internetowy JSON (JWT), który stanowi podpisane potwierdzenie uwierzytelniania Google tożsamości użytkownika. Token JWT zawiera informacje o Identyfikator konta Google, imię i nazwisko oraz adres e-mail.
scope Opcjonalne: wszystkie zakresy skonfigurowane przez Google, których ma żądać. użytkowników.
client_id Identyfikator klienta przypisany przez Ciebie do Google.
client_secret Klucz klienta przypisany przez Ciebie do Google.

Aby odpowiedzieć na żądania intencji get, punkt końcowy wymiany tokenów musi wykonać te czynności:

  • Sprawdź i zdekoduj potwierdzenie JWT.
  • Sprawdź, czy konto Google znajduje się już w systemie uwierzytelniania.
Validate and decode the JWT assertion

You can validate and decode the JWT assertion by using a JWT-decoding library for your language. Use Google's public keys, available in JWK or PEM formats, to verify the token's signature.

When decoded, the JWT assertion looks like the following example: 

{
  "sub": "1234567890",      // The unique ID of the user's Google Account
  "iss": "https://accounts.google.com",        // The assertion's issuer
  "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID
  "iat": 233366400,         // Unix timestamp of the assertion's creation time
  "exp": 233370000,         // Unix timestamp of the assertion's expiration time
  "name": "Jan Jansen",
  "given_name": "Jan",
  "family_name": "Jansen",
  "email": "jan@gmail.com", // If present, the user's email address
  "email_verified": true,   // true, if Google has verified the email address
  "hd": "example.com",      // If present, the host domain of the user's GSuite email address
                            // If present, a URL to user's profile picture
  "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ",
  "locale": "en_US"         // User's locale, from browser or phone settings
}

In addition to verifying the token's signature, verify that the assertion's issuer (iss field) is https://accounts.google.com, that the audience (aud field) is your assigned client ID, and that the token has not expired (exp field).

Using the email, email_verified and hd fields you can determine if Google hosts and is authoritative for an email address. In cases where Google is authoritative the user is currently known to be the legitimate account owner and you may skip password or other challenges methods. Otherwise, these methods can be used to verify the account prior to linking.

Cases where Google is authoritative:

  • email has a @gmail.com suffix, this is a Gmail account.
  • email_verified is true and hd is set, this is a G Suite account.

Users may register for Google Accounts without using Gmail or G Suite. When email does not contain a @gmail.com suffix and hd is absent Google is not authoritative and password or other challenge methods are recommended to verify the user. email_verified can also be true as Google initially verified the user when the Google account was created, however ownership of the third party email account may have since changed.

Sprawdź, czy konto Google znajduje się już w systemie uwierzytelniania

Sprawdź, czy spełniony jest jeden z tych warunków:

  • Identyfikator konta Google znajdujący się w polu sub potwierdzenia należy do użytkownika w bazie danych.
  • Adres e-mail podany w potwierdzeniu pasuje do użytkownika w bazie danych użytkowników.

Jeśli konto użytkownika zostanie znalezione, wydawaj token dostępu i zwracaj wartości w obiekcie JSON w treści odpowiedzi HTTPS, jak w tym przykładzie: 

{
  "token_type": "Bearer",
  "access_token": "ACCESS_TOKEN",

  "expires_in": SECONDS_TO_EXPIRATION
}

W niektórych przypadkach połączenie kont na podstawie tokena tożsamości może się nie udać w przypadku użytkownika. Jeśli zrobi to z jakiegokolwiek powodu, punkt końcowy wymiany tokenów musi odpowiedzieć z kodem Błąd 401, który określa error=linking_error, tak jak w tym przykładzie:

HTTP/1.1 401 Unauthorized
Content-Type: application/json;charset=UTF-8

{
  "error":"linking_error",
  "login_hint":"foo@bar.com"
}

Gdy Google otrzymuje odpowiedź o błędzie 401 z kodem linking_error, wysyła użytkownika do punktu końcowego autoryzacji z parametrem login_hint. użytkownik realizuje proces łączenia kont w przeglądarce za pomocą protokołu OAuth.

Handle account creation via Google Sign-In (create intent)

When a user needs to create an account on your service, Google makes a request to your token exchange endpoint that specifies intent=create.

The request has the following form:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

response_type=token&grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&scope=SCOPES&intent=create&assertion=JWT&client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET

Your token exchange endpoint must able to handle the following parameters:

Token endpoint parameters
intent For these requests, the value of this parameter is create.
grant_type The type of token being exchanged. For these requests, this parameter has the value urn:ietf:params:oauth:grant-type:jwt-bearer.
assertion A JSON Web Token (JWT) that provides a signed assertion of the Google user's identity. The JWT contains information that includes the user's Google Account ID, name, and email address.
client_id The client ID you assigned to Google.
client_secret The client secret you assigned to Google.

The JWT within the assertion parameter contains the user's Google Account ID, name, and email address, which you can use to create a new account on your service.

To respond to the create intent requests, your token exchange endpoint must perform the following steps:

  • Validate and decode the JWT assertion.
  • Validate user information and create new account.
Validate and decode the JWT assertion

You can validate and decode the JWT assertion by using a JWT-decoding library for your language. Use Google's public keys, available in JWK or PEM formats, to verify the token's signature.

When decoded, the JWT assertion looks like the following example: 

{
  "sub": "1234567890",      // The unique ID of the user's Google Account
  "iss": "https://accounts.google.com",        // The assertion's issuer
  "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID
  "iat": 233366400,         // Unix timestamp of the assertion's creation time
  "exp": 233370000,         // Unix timestamp of the assertion's expiration time
  "name": "Jan Jansen",
  "given_name": "Jan",
  "family_name": "Jansen",
  "email": "jan@gmail.com", // If present, the user's email address
  "email_verified": true,   // true, if Google has verified the email address
  "hd": "example.com",      // If present, the host domain of the user's GSuite email address
                            // If present, a URL to user's profile picture
  "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ",
  "locale": "en_US"         // User's locale, from browser or phone settings
}

In addition to verifying the token's signature, verify that the assertion's issuer (iss field) is https://accounts.google.com, that the audience (aud field) is your assigned client ID, and that the token has not expired (exp field).

Using the email, email_verified and hd fields you can determine if Google hosts and is authoritative for an email address. In cases where Google is authoritative the user is currently known to be the legitimate account owner and you may skip password or other challenges methods. Otherwise, these methods can be used to verify the account prior to linking.

Cases where Google is authoritative:

  • email has a @gmail.com suffix, this is a Gmail account.
  • email_verified is true and hd is set, this is a G Suite account.

Users may register for Google Accounts without using Gmail or G Suite. When email does not contain a @gmail.com suffix and hd is absent Google is not authoritative and password or other challenge methods are recommended to verify the user. email_verified can also be true as Google initially verified the user when the Google account was created, however ownership of the third party email account may have since changed.

Validate user information and create new account

Check whether either of the following conditions are true:

  • The Google Account ID, found in the assertion's sub field, is in your user database.
  • The email address in the assertion matches a user in your user database.

If either condition is true, prompt the user to link their existing account with their Google Account. To do so, respond to the request with an HTTP 401 error that specifies error=linking_error and gives the user's email address as the login_hint. The following is a sample response:

HTTP/1.1 401 Unauthorized
Content-Type: application/json;charset=UTF-8

{
  "error":"linking_error",
  "login_hint":"foo@bar.com"
}

When Google receives a 401 error response with linking_error, Google sends the user to your authorization endpoint with login_hint as a parameter. The user completes account linking using the OAuth linking flow in their browser.

If neither condition is true, create a new user account with the information provided in the JWT. New accounts don't typically have a password set. It's recommended that you add Google Sign-In to other platforms to enable users to log in with Google across the surfaces of your application. Alternatively, you can email the user a link that starts your password recovery flow to allow the user to set a password to sign in on other platforms.

When the creation is completed, issue an access token and return the values in a JSON object in the body of your HTTPS response, like in the following example: 

{
  "token_type": "Bearer",
  "access_token": "ACCESS_TOKEN",

  "expires_in": SECONDS_TO_EXPIRATION
}

Uzyskiwanie identyfikatora klienta interfejsu API Google

Podczas procesu rejestracji w ramach łączenia kont musisz podać identyfikator klienta interfejsu API Google.

Aby uzyskać identyfikator klienta interfejsu API przy użyciu projektu utworzonego podczas wykonywania czynności dotyczących łączenia protokołu OAuth. W tym celu wykonaj następujące czynności:

  1. Otwórz stronę Credentials (Dane logowania) w interfejsie Konsola interfejsów API Google.

  2. Utwórz lub wybierz projekt interfejsów API Google.

    Jeśli Twój projekt nie ma identyfikatora klienta dla typu aplikacji internetowej, kliknij Utwórz dane logowania > Identyfikator klienta OAuth, aby go utworzyć. Pamiętaj o podaniu domenę witryny w polu Autoryzowane źródła JavaScriptu. Po wykonaniu lokalnych testów lub programowania, musisz dodać zarówno http://localhost, jak i http://localhost:<port_number> w polu Autoryzowane źródła JavaScript.

Weryfikowanie implementacji

Własną implementację możesz sprawdzić za pomocą narzędzia OAuth 2.0 Playground.

W narzędziu wykonaj te czynności:

  1. Kliknij Konfiguracja , aby otworzyć okno konfiguracji OAuth 2.0.
  2. W polu Procedura OAuth wybierz Po stronie klienta.
  3. W polu Punkty końcowe OAuth wybierz Niestandardowe.
  4. W odpowiednich polach podaj punkt końcowy OAuth 2.0 i identyfikator klienta przypisany do Google.
  5. W sekcji Krok 1 nie wybieraj żadnych zakresów uprawnień Google. Zamiast tego pozostaw to pole puste lub wpisz zakres prawidłowy dla Twojego serwera (lub dowolny ciąg znaków, jeśli nie używasz zakresów OAuth). Gdy skończysz, kliknij Autoryzuj interfejsy API.
  6. W sekcji Krok 2Krok 3 przejdź przez proces OAuth 2.0 i sprawdź, czy każdy krok działa prawidłowo.

Implementację możesz zweryfikować za pomocą narzędzia Demo łączenia kont Google.

W narzędziu wykonaj te czynności:

  1. Kliknij przycisk Zaloguj się przez Google.
  2. Wybierz konto, które chcesz połączyć.
  3. Wpisz identyfikator usługi.
  4. Opcjonalnie wpisz co najmniej 1 zakres, do którego chcesz uzyskać dostęp.
  5. Kliknij Uruchom wersję pokazową.
  6. Gdy pojawi się odpowiedni komunikat, potwierdź, że możesz wyrazić zgodę lub odrzucić prośbę o połączenie.
  7. Sprawdź, czy nastąpiło przekierowanie na Twoją platformę.