Vinculação simplificada com OAuth e Fazer login com o Google

Visão geral

O Fazer login com o Google simplificado baseado em OAuth adiciona o Fazer login com o Google além da vinculação do OAuth. Isso oferece uma experiência de vinculação perfeita para os usuários do Google e também permite a criação de contas, o que permite que o usuário crie uma nova conta no seu serviço usando a Conta do Google.

Para vincular contas com o OAuth e o Fazer login com o Google, siga estas etapas gerais:

1. Primeiro, peça ao usuário para dar consentimento de acesso ao perfil do Google dele.
2. Use as informações no perfil para verificar se a conta de usuário existe.
3. Para usuários atuais, vincule as contas.
4. Se você não encontrar uma correspondência para o usuário do Google no seu sistema de autenticação, valide o token de ID recebido do Google. Em seguida, você pode criar um usuário com base nas informações do perfil contidas no token de ID.

Figura 1. Vinculação de conta no smartphone de um usuário com a vinculação simplificada

Vinculação simplificada: fluxo do OAuth + Fazer login com o Google

O diagrama de sequência a seguir detalha as interações entre o usuário, o Google e seu endpoint de troca de tokens para vinculação simplificada.

Funções e responsabilidades

A tabela a seguir define as funções e responsabilidades dos participantes no fluxo de vinculação simplificada.

Ator / componente	Função na GAL	Responsabilidades
App / servidor do Google	Cliente OAuth	Obtém o consentimento do usuário para o recurso Fazer login com o Google, transmite declarações de identidade (JWT) ao seu servidor e armazena com segurança os tokens resultantes.
Seu endpoint de troca de token	Provedor de identidade / servidor de autorização	Valida declarações de identidade, verifica se há contas, processa os intents de vinculação de contas (check, get, create) e emite tokens com base nos intents solicitados.
Sua API de serviço	Servidor de recursos	Fornece acesso aos dados do usuário quando um token de acesso válido é apresentado.

Requisitos para a vinculação simplificada

• Implemente o fluxo de vinculação básica do OAuth. Seu serviço precisa oferecer suporte a endpoints de autorização e troca de tokens compatíveis com o OAuth 2.0.
• O endpoint de troca de token precisa oferecer suporte a declarações de JSON Web Token (JWT) e implementar as intents check, create e get.

• Registre seu ID do cliente da API do Google.

Lógica de decisão para vinculação simplificada

A lógica a seguir determina como as intents são chamadas durante o fluxo de vinculação simplificada:

1. O usuário tem uma conta no seu sistema de autenticação? (O usuário decide selecionando SIM ou NÃO)
   1. SIM : o usuário usa o e-mail associado à Conta do Google para fazer login na sua plataforma? (O usuário decide selecionando SIM ou NÃO)
      1. SIM : o usuário tem uma conta correspondente no seu sistema de autenticação? (check intent é chamado para confirmar)
         1. SIM : get intent é chamado e a conta é vinculada se a intent de recebimento for retornada com sucesso.
         2. NÃO : Criar conta? (O usuário decide selecionando SIM ou NÃO)
            1. SIM : create intent é chamado e a conta é vinculada se a intent de criação for retornada com sucesso.
            2. NÃO : o fluxo de vinculação do OAuth é acionado, o usuário é direcionado ao navegador e tem a opção de vincular com um e-mail diferente.
      2. NÃO : o fluxo de vinculação do OAuth é acionado, o usuário é direcionado ao navegador e tem a opção de vincular com um e-mail diferente.
   2. NÃO : o usuário tem uma conta correspondente no seu sistema de autenticação? (check intent é chamado para confirmar)
      1. SIM : get intent é chamado e a conta é vinculada se a intent de recebimento for retornada com sucesso.
      2. NÃO : create intent é chamado e a conta é vinculada se a intent de criação for retornada com sucesso.

Receita de implementação

Seu endpoint de troca de token precisa implementar as intents check, get e create para oferecer suporte à vinculação simplificada.

Siga estas etapas para processar as diferentes intents:

检查现有用户账号（检查 intent）

Google 会调用您的令牌交换端点，以验证 Google 用户是否存在于您的系统中。如需了解参数详情，请参阅简化的关联 intent。

实现方案

如需处理 check intent，请执行以下操作：

1. 验证请求：

   • 验证 client_id、client_secret 和 grant_type（必须为 urn:ietf:params:oauth:grant-type:jwt-bearer）。
   • 使用 JWT 验证 中的条件验证 assertion (JWT)。

2. 查找用户：

   • 检查 JWT 中的 Google 账号 ID (sub) 或电子邮件地址是否与数据库中的用户匹配。

3. 回应：

   • 如果找到：返回 HTTP 200 OK，并附带 {"account_found": "true"}。
   • 如果未找到：返回 HTTP 404 Not Found，并附带 {"account_found": "false"}。

Processar a vinculação automática (receber a intent)

Se a conta existir, o Google vai chamar seu endpoint com intent=get para recuperar tokens. Para detalhes dos parâmetros, consulte Intents de vinculação simplificada.

Receita de implementação

Para processar a intent get, faça o seguinte:

1. Validar a solicitação:

   • Verifique client_id, client_secret e grant_type.
   • Valide a assertion (JWT).

2. Pesquisar o usuário:

   • Verifique se o usuário existe usando a declaração sub ou email.

3. Responder:

   • Se a operação for bem-sucedida: gere e retorne access_token, refresh_token e expires_in em uma resposta JSON (HTTP 200 OK).
   • Se a vinculação falhar: retorne HTTP 401 Unauthorized com {"error": "linking_error"} e um login_hint opcional para voltar à vinculação OAuth padrão.

使用“使用 Google 账号登录”功能处理账号创建事宜（创建 intent）

如果不存在任何账号，Google 会使用 intent=create 调用您的端点，以创建新用户。如需了解参数详情，请参阅 Streamlined Linking Intents。

实现方案

如需处理 create intent，请执行以下操作：

1. 验证请求：

   • 验证 client_id、client_secret 和 grant_type。
   • 验证 assertion (JWT)。

2. 验证用户不存在：

   • 检查您的数据库中是否已存在 sub 或 email。
   • 如果用户 存在，请返回 HTTP 401 Unauthorized，并使用 {"error": "linking_error", "login_hint": "USER_EMAIL"} 强制回退到 OAuth 关联。

3. 创建账号：

   • 使用 JWT 中的 sub、email、name 和 picture 声明创建新的用户记录。

4. 回应：

   • 在 JSON 响应 (HTTP 200 OK) 中生成并返回令牌。

Receber seu ID do cliente da API do Google

Você precisará fornecer seu ID do cliente da API do Google durante o processo de registro da vinculação de contas. Para receber o ID do cliente da API usando o projeto criado ao concluir as etapas de vinculação do OAuth. Para fazer isso, siga estas etapas:

1. Acesse a página "Clientes".

2. Crie ou selecione um projeto das APIs do Google.

   Se o projeto não tiver um ID do cliente para o tipo de aplicativo da Web, clique em Criar cliente para criar um. Inclua o domínio do seu site na caixa Origens JavaScript autorizadas. Ao realizar testes ou desenvolvimento local, adicione http://localhost e http://localhost:<port_number> ao campo Origens JavaScript autorizadas.

Validar sua implementação

Use a ferramenta OAuth 2.0 Playground para validar sua implementação.

Na ferramenta, siga estas etapas:

1. Clique em Configuração settings para abrir a janela de configuração do OAuth 2.0.
2. No campo Fluxo do OAuth, selecione Do lado do cliente.
3. No campo Endpoints OAuth, selecione Personalizado.
4. Especifique seu endpoint OAuth 2.0 e o ID do cliente atribuído ao Google nos campos correspondentes.
5. Na seção Etapa 1, não selecione nenhum escopo do Google. Em vez disso, deixe esse campo em branco ou digite um escopo válido para seu servidor (ou uma string arbitrária se você não usar escopos do OAuth). Quando terminar, clique em Autorizar APIs.
6. Nas seções Etapa 2 e Etapa 3, siga o fluxo do OAuth 2.0 e verifique se cada etapa funciona como esperado.

Você pode validar sua implementação usando a ferramenta Demonstração da Vinculação da Conta do Google.

Na ferramenta, siga estas etapas:

1. Clique no botão Fazer login com o Google.
2. Escolha a conta que você quer vincular.
3. Insira o ID do serviço.
4. Se quiser, insira um ou mais escopos para os quais você vai solicitar acesso.
5. Clique em Iniciar demonstração.
6. Quando solicitado, confirme que você pode consentir e negar o pedido de vinculação.
7. Confirme se você foi redirecionado para sua plataforma.