Tổng quan
Tính năng Liên kết đơn giản hoá Đăng nhập bằng Google dựa trên OAuth sẽ thêm tính năng Đăng nhập bằng Google vào bên trên tính năng liên kết OAuth. Điều này mang lại trải nghiệm liên kết liền mạch cho người dùng Google, đồng thời cho phép tạo tài khoản, nhờ đó người dùng có thể tạo tài khoản mới trên dịch vụ của bạn bằng Tài khoản Google của họ.
Để liên kết tài khoản bằng OAuth và tính năng Đăng nhập bằng Google, hãy làm theo các bước chung sau:
- Trước tiên, hãy yêu cầu người dùng đồng ý truy cập vào hồ sơ Google của họ.
- Sử dụng thông tin trong hồ sơ của họ để kiểm tra xem tài khoản người dùng có tồn tại hay không.
- Đối với người dùng hiện tại, hãy liên kết các tài khoản.
- Nếu bạn không tìm thấy kết quả trùng khớp cho người dùng Google trong hệ thống xác thực, hãy xác thực mã thông báo nhận dạng nhận được từ Google. Sau đó, bạn có thể tạo người dùng dựa trên thông tin hồ sơ có trong mã thông báo nhận dạng.
Hình 1 Liên kết tài khoản trên điện thoại của người dùng bằng tính năng Liên kết đơn giản
Yêu cầu đối với tính năng Liên kết đơn giản
- Triển khai quy trình liên kết OAuth cơ bản trên web. Dịch vụ của bạn phải hỗ trợ các điểm cuối uỷ quyền và trao đổi mã thông báo tuân thủ OAuth 2.0.
- Điểm cuối trao đổi mã thông báo phải hỗ trợ các câu nhận định Mã thông báo web JSON (JWT) và triển khai ý định
check,createvàget.
Triển khai máy chủ OAuth
Điểm cuối giao dịch mã thông báo phải hỗ trợ các ý định check, create, get. Phần dưới đây cho thấy các bước đã hoàn tất thông qua quy trình liên kết tài khoản và cho biết thời điểm các ý định khác nhau được gọi:
- Người dùng có tài khoản trong hệ thống xác thực của bạn không? (Người dùng quyết định bằng cách chọn CÓ hoặc KHÔNG)
- CÓ : Người dùng có sử dụng email liên kết với Tài khoản Google của họ để đăng nhập vào nền tảng của bạn không? (Người dùng quyết định bằng cách chọn CÓ hoặc KHÔNG)
- CÓ : Người dùng có tài khoản khớp trong hệ thống xác thực của bạn không? (
check intentđược gọi để xác nhận)- CÓ :
get intentđược gọi và tài khoản được liên kết nếu get intent trả về thành công. - KHÔNG : Tạo tài khoản mới? (Người dùng quyết định bằng cách chọn CÓ hoặc KHÔNG)
- CÓ :
create intentđược gọi và tài khoản được liên kết nếu ý định tạo trả về thành công. - KHÔNG : Quy trình OAuth trên web được kích hoạt, người dùng được chuyển hướng đến trình duyệt và có thể chọn liên kết với một email khác.
- CÓ :
- CÓ :
- KHÔNG : Luồng OAuth trên web được kích hoạt, người dùng được chuyển hướng đến trình duyệt và có thể chọn liên kết với một email khác.
- CÓ : Người dùng có tài khoản khớp trong hệ thống xác thực của bạn không? (
- KHÔNG : Người dùng có tài khoản khớp trong hệ thống xác thực của bạn không? (
check intentđược gọi để xác nhận)- CÓ :
get intentđược gọi và tài khoản được liên kết nếu get intent trả về thành công. - KHÔNG :
create intentđược gọi và tài khoản được liên kết nếu ý định tạo trả về thành công.
- CÓ :
- CÓ : Người dùng có sử dụng email liên kết với Tài khoản Google của họ để đăng nhập vào nền tảng của bạn không? (Người dùng quyết định bằng cách chọn CÓ hoặc KHÔNG)
检查现有用户账号(检查 intent)
在用户同意访问其 Google 个人资料后,Google 会发送 请求,其中包含 Google 用户身份的已签名断言。通过 断言包含的信息包括用户的 Google 账号 ID、 姓名和电子邮件地址为您的 Google Cloud 控制台配置的令牌交换端点 项目处理该请求。
如果您的身份验证中已有相应的 Google 账号
系统时,您的令牌交换端点会返回 account_found=true。如果
Google 账号与现有用户不匹配,您的令牌交换端点
返回“HTTP 404 Not Found”错误以及 account_found=false。
请求的格式如下:
POST /token HTTP/1.1 Host: oauth2.example.com Content-Type: application/x-www-form-urlencoded grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&intent=check&assertion=JWT&scope=SCOPES&client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET
您的令牌交换端点必须能够处理以下参数:
| 令牌端点参数 | |
|---|---|
intent |
对于这些请求,此参数的值为
check。 |
grant_type |
所交换的令牌的类型。对于这类请求
参数的值为 urn:ietf:params:oauth:grant-type:jwt-bearer。 |
assertion |
一个 JSON Web 令牌 (JWT),提供 Google 用户身份。JWT 包含的信息包括用户 Google 账号 ID、姓名和电子邮件地址。 |
client_id |
您分配给 Google 的客户 ID。 |
client_secret |
您分配给 Google 的客户端密钥。 |
如需响应 check intent 请求,您的令牌交换端点必须执行以下步骤:
- 验证和解码 JWT 断言。
- 检查您的身份验证系统中是否已存在该 Google 账号。
Validate and decode the JWT assertion
You can validate and decode the JWT assertion by using a JWT-decoding library for your language. Use Google's public keys, available in JWK or PEM formats, to verify the token's signature.
When decoded, the JWT assertion looks like the following example:
{ "sub": "1234567890", // The unique ID of the user's Google Account "iss": "https://accounts.google.com", // The assertion's issuer "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID "iat": 233366400, // Unix timestamp of the assertion's creation time "exp": 233370000, // Unix timestamp of the assertion's expiration time "name": "Jan Jansen", "given_name": "Jan", "family_name": "Jansen", "email": "jan@gmail.com", // If present, the user's email address "email_verified": true, // true, if Google has verified the email address "hd": "example.com", // If present, the host domain of the user's GSuite email address // If present, a URL to user's profile picture "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ", "locale": "en_US" // User's locale, from browser or phone settings }
In addition to verifying the token's signature, verify that the assertion's
issuer (iss field) is https://accounts.google.com, that the audience
(aud field) is your assigned client ID, and that the token has not expired
(exp field).
Using the email, email_verified and hd fields you can determine if
Google hosts and is authoritative for an email address. In cases where Google is
authoritative the user is currently known to be the legitimate account owner
and you may skip password or other challenges methods. Otherwise, these methods
can be used to verify the account prior to linking.
Cases where Google is authoritative:
emailhas a@gmail.comsuffix, this is a Gmail account.email_verifiedis true andhdis set, this is a G Suite account.
Users may register for Google Accounts without using Gmail or G Suite. When
email does not contain a @gmail.com suffix and hd is absent Google is not
authoritative and password or other challenge methods are recommended to verify
the user. email_verified can also be true as Google initially verified the
user when the Google account was created, however ownership of the third party
email account may have since changed.
检查您的身份验证系统中是否已存在该 Google 账号
请检查以下任一条件是否成立:
- Google 账号 ID(可在断言的
sub字段中找到)位于您的用户中 数据库。 - 断言中的电子邮件地址与用户数据库中的用户匹配。
如果满足上述任一条件,则表明用户已注册。在这种情况下 返回如下所示的响应:
HTTP/1.1 200 Success
Content-Type: application/json;charset=UTF-8
{
"account_found":"true",
}
如果 Google 账号 ID 和
断言与您的数据库中的用户匹配,该用户尚未注册。在
在这种情况下,您的令牌交换端点需要返回 HTTP 404 错误
指定 "account_found": "false",如以下示例所示:
HTTP/1.1 404 Not found
Content-Type: application/json;charset=UTF-8
{
"account_found":"false",
}
Handle automatic linking (get intent)
After the user gives consent to access their Google profile, Google sends a request that contains a signed assertion of the Google user's identity. The assertion contains information that includes the user's Google Account ID, name, and email address. The token exchange endpoint configured for your project handles that request.
If the corresponding Google Account is already present in your authentication
system, your token exchange endpoint returns a token for the user. If the
Google Account doesn't match an existing user, your token exchange endpoint
returns a linking_error error and optional login_hint.
The request has the following form:
POST /token HTTP/1.1 Host: oauth2.example.com Content-Type: application/x-www-form-urlencoded grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&intent=get&assertion=JWT&scope=SCOPES&client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET
Your token exchange endpoint must be able to handle the following parameters:
| Token endpoint parameters | |
|---|---|
intent |
For these requests, the value of this parameter is get. |
grant_type |
The type of token being exchanged. For these requests, this
parameter has the value urn:ietf:params:oauth:grant-type:jwt-bearer. |
assertion |
A JSON Web Token (JWT) that provides a signed assertion of the Google user's identity. The JWT contains information that includes the user's Google Account ID, name, and email address. |
scope |
Optional: Any scopes that you've configured Google to request from users. |
client_id |
The client ID you assigned to Google. |
client_secret |
The client secret you assigned to Google. |
To respond to the get intent requests, your token exchange endpoint must perform the following steps:
- Validate and decode the JWT assertion.
- Check if the Google account is already present in your authentication system.
Validate and decode the JWT assertion
You can validate and decode the JWT assertion by using a JWT-decoding library for your language. Use Google's public keys, available in JWK or PEM formats, to verify the token's signature.
When decoded, the JWT assertion looks like the following example:
{ "sub": "1234567890", // The unique ID of the user's Google Account "iss": "https://accounts.google.com", // The assertion's issuer "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID "iat": 233366400, // Unix timestamp of the assertion's creation time "exp": 233370000, // Unix timestamp of the assertion's expiration time "name": "Jan Jansen", "given_name": "Jan", "family_name": "Jansen", "email": "jan@gmail.com", // If present, the user's email address "email_verified": true, // true, if Google has verified the email address "hd": "example.com", // If present, the host domain of the user's GSuite email address // If present, a URL to user's profile picture "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ", "locale": "en_US" // User's locale, from browser or phone settings }
In addition to verifying the token's signature, verify that the assertion's
issuer (iss field) is https://accounts.google.com, that the audience
(aud field) is your assigned client ID, and that the token has not expired
(exp field).
Using the email, email_verified and hd fields you can determine if
Google hosts and is authoritative for an email address. In cases where Google is
authoritative the user is currently known to be the legitimate account owner
and you may skip password or other challenges methods. Otherwise, these methods
can be used to verify the account prior to linking.
Cases where Google is authoritative:
emailhas a@gmail.comsuffix, this is a Gmail account.email_verifiedis true andhdis set, this is a G Suite account.
Users may register for Google Accounts without using Gmail or G Suite. When
email does not contain a @gmail.com suffix and hd is absent Google is not
authoritative and password or other challenge methods are recommended to verify
the user. email_verified can also be true as Google initially verified the
user when the Google account was created, however ownership of the third party
email account may have since changed.
Check if the Google account is already present in your authentication system
Check whether either of the following conditions are true:
- The Google Account ID, found in the assertion's
subfield, is in your user database. - The email address in the assertion matches a user in your user database.
If an account is found for the user, issue an access token and return the values in a JSON object in the body of your HTTPS response, like in the following example:
{ "token_type": "Bearer", "access_token": "ACCESS_TOKEN", "refresh_token": "REFRESH_TOKEN", "expires_in": SECONDS_TO_EXPIRATION }
In some cases, account linking based on ID token might fail for the user. If it
does so for any reason, your token exchange endpoint needs to reply with a HTTP
401 error that specifies error=linking_error, as the following example shows:
HTTP/1.1 401 Unauthorized
Content-Type: application/json;charset=UTF-8
{
"error":"linking_error",
"login_hint":"foo@bar.com"
}
When Google receives a 401 error response with linking_error, Google sends
the user to your authorization endpoint with login_hint as a parameter. The
user completes account linking using the OAuth linking flow in their browser.
通过 Google 登录功能处理账号创建(创建 intent)
当用户需要在您的服务中创建账号时,Google 会发出请求
发送到指定 intent=create 的令牌交换端点。
请求的格式如下:
POST /token HTTP/1.1 Host: oauth2.example.com Content-Type: application/x-www-form-urlencoded response_type=token&grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&scope=SCOPES&intent=create&assertion=JWT&client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET
您的令牌交换端点必须能够处理以下参数:
| 令牌端点参数 | |
|---|---|
intent |
对于这些请求,此参数的值为 create。 |
grant_type |
所交换的令牌的类型。对于这类请求
参数的值为 urn:ietf:params:oauth:grant-type:jwt-bearer。 |
assertion |
一个 JSON Web 令牌 (JWT),提供 Google 用户身份。JWT 包含的信息包括用户 Google 账号 ID、姓名和电子邮件地址。 |
client_id |
您分配给 Google 的客户 ID。 |
client_secret |
您分配给 Google 的客户端密钥。 |
assertion 参数中的 JWT 包含用户的 Google 账号 ID。
姓名和电子邮件地址,可用于在 Gmail 中创建新账号
服务。
如需响应 create intent 请求,您的令牌交换端点必须执行以下步骤:
- 验证和解码 JWT 断言。
- 验证用户信息并创建新账号。
Validate and decode the JWT assertion
You can validate and decode the JWT assertion by using a JWT-decoding library for your language. Use Google's public keys, available in JWK or PEM formats, to verify the token's signature.
When decoded, the JWT assertion looks like the following example:
{ "sub": "1234567890", // The unique ID of the user's Google Account "iss": "https://accounts.google.com", // The assertion's issuer "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID "iat": 233366400, // Unix timestamp of the assertion's creation time "exp": 233370000, // Unix timestamp of the assertion's expiration time "name": "Jan Jansen", "given_name": "Jan", "family_name": "Jansen", "email": "jan@gmail.com", // If present, the user's email address "email_verified": true, // true, if Google has verified the email address "hd": "example.com", // If present, the host domain of the user's GSuite email address // If present, a URL to user's profile picture "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ", "locale": "en_US" // User's locale, from browser or phone settings }
In addition to verifying the token's signature, verify that the assertion's
issuer (iss field) is https://accounts.google.com, that the audience
(aud field) is your assigned client ID, and that the token has not expired
(exp field).
Using the email, email_verified and hd fields you can determine if
Google hosts and is authoritative for an email address. In cases where Google is
authoritative the user is currently known to be the legitimate account owner
and you may skip password or other challenges methods. Otherwise, these methods
can be used to verify the account prior to linking.
Cases where Google is authoritative:
emailhas a@gmail.comsuffix, this is a Gmail account.email_verifiedis true andhdis set, this is a G Suite account.
Users may register for Google Accounts without using Gmail or G Suite. When
email does not contain a @gmail.com suffix and hd is absent Google is not
authoritative and password or other challenge methods are recommended to verify
the user. email_verified can also be true as Google initially verified the
user when the Google account was created, however ownership of the third party
email account may have since changed.
验证用户信息并创建新账号
请检查以下任一条件是否成立:
- Google 账号 ID(可在断言的
sub字段中找到)位于您的用户中 数据库。 - 断言中的电子邮件地址与用户数据库中的用户匹配。
如果满足上述任一条件,请提示用户关联其现有账号
与其 Google 账号关联。为此,请使用 HTTP 401 错误响应请求
该参数指定 error=linking_error 并将用户的电子邮件地址作为
login_hint。以下是示例响应:
HTTP/1.1 401 Unauthorized
Content-Type: application/json;charset=UTF-8
{
"error":"linking_error",
"login_hint":"foo@bar.com"
}
当 Google 收到包含 linking_error 的 401 错误响应时,会发送
使用 login_hint 作为参数将用户发送到您的授权端点。通过
用户在浏览器中使用 OAuth 关联流程完成账号关联。
如果以上两个条件都不满足,请使用相应信息创建一个新的用户账号 。新账号通常不会设置密码。时间是 建议您将 Google 登录功能添加到其他平台,以便用户 使用 Google 账号登录。或者 可以通过电子邮件向用户发送链接,启动密码恢复流程,以允许 用户设置密码,以便在其他平台上登录。
创建完成后,发出一个访问令牌 并在 HTTPS 响应的正文,如以下示例所示:
{ "token_type": "Bearer", "access_token": "ACCESS_TOKEN", "refresh_token": "REFRESH_TOKEN", "expires_in": SECONDS_TO_EXPIRATION }
Lấy mã ứng dụng khách Google API
Bạn sẽ phải cung cấp Mã ứng dụng Google API trong quá trình đăng ký tính năng Liên kết tài khoản.
Để lấy mã ứng dụng API bằng dự án bạn đã tạo trong khi hoàn tất các bước Liên kết OAuth. Để thực hiện điều này, vui lòng hoàn thành các bước sau:
Tạo hoặc chọn một dự án API của Google.
Nếu dự án của bạn không có Mã ứng dụng cho Loại ứng dụng web, hãy nhấp vào Tạo ứng dụng để tạo mã ứng dụng. Hãy nhớ thêm miền của trang web vào hộp Nguồn gốc JavaScript được uỷ quyền. Khi thực hiện kiểm thử hoặc phát triển cục bộ, bạn phải thêm cả
http://localhostvàhttp://localhost:<port_number>vào trường Nguồn gốc JavaScript được uỷ quyền.
Xác thực quá trình triển khai
Bạn có thể xác thực phương thức triển khai bằng cách sử dụng công cụ OAuth 2.0 Playground.
Trong công cụ này, hãy làm theo các bước sau:
- Nhấp vào biểu tượng Configuration (Cấu hình) để mở cửa sổ OAuth 2.0 Configuration (Cấu hình OAuth 2.0).
- Trong trường Quy trình OAuth, hãy chọn Phía máy khách.
- Trong trường OAuth Endpoints (Điểm cuối OAuth), hãy chọn Custom (Tuỳ chỉnh).
- Chỉ định điểm cuối OAuth 2.0 và mã ứng dụng khách mà bạn đã chỉ định cho Google trong các trường tương ứng.
- Trong phần Bước 1, đừng chọn bất kỳ phạm vi nào của Google. Thay vào đó, hãy để trống trường này hoặc nhập một phạm vi hợp lệ cho máy chủ của bạn (hoặc một chuỗi tuỳ ý nếu bạn không sử dụng phạm vi OAuth). Khi bạn hoàn tất, hãy nhấp vào Uỷ quyền cho API.
- Trong các mục Bước 2 và Bước 3, hãy thực hiện quy trình OAuth 2.0 và xác minh rằng mỗi bước hoạt động như dự kiến.
Bạn có thể xác thực việc triển khai của mình bằng cách sử dụng công cụ Bản minh hoạ về cách liên kết Tài khoản Google.
Trong công cụ này, hãy làm theo các bước sau:
- Nhấp vào nút Đăng nhập bằng Google.
- Chọn tài khoản mà bạn muốn liên kết.
- Nhập mã dịch vụ.
- Bạn có thể nhập một hoặc nhiều phạm vi mà bạn sẽ yêu cầu quyền truy cập.
- Nhấp vào Bắt đầu bản minh hoạ.
- Khi được nhắc, hãy xác nhận rằng bạn có thể đồng ý và từ chối yêu cầu liên kết.
- Xác nhận rằng bạn được chuyển hướng đến nền tảng của mình.