Vereinfachte Verknüpfung mit OAuth und „Über Google anmelden“

Übersicht

OAuth-basierte optimierte Verknüpfung für die Google-Anmeldung fügt die Google-Anmeldung zusätzlich zur OAuth-Verknüpfung hinzu. So können Google-Nutzer ihre Konten nahtlos verknüpfen. Außerdem wird die Kontoerstellung ermöglicht, sodass Nutzer mit ihrem Google-Konto ein neues Konto für Ihren Dienst erstellen können.

So verknüpfst du Konten mit OAuth und „Über Google anmelden“:

  1. Bitten Sie den Nutzer zuerst um die Einwilligung, auf sein Google-Profil zuzugreifen.
  2. Prüfen Sie anhand der Informationen im Profil, ob das Nutzerkonto vorhanden ist.
  3. Verknüpfen Sie die Konten für bestehende Nutzer.
  4. Wenn Sie in Ihrem Authentifizierungssystem keine Übereinstimmung für den Google-Nutzer finden, validieren Sie das von Google empfangene ID-Token. Anschließend können Sie einen Nutzer basierend auf den Profilinformationen im ID-Token erstellen.
In dieser Abbildung sind die Schritte dargestellt, die ein Nutzer ausführen muss, um sein Google-Konto über den optimierten Verknüpfungsvorgang zu verknüpfen. Auf dem ersten Screenshot ist zu sehen, wie ein Nutzer Ihre App zum Verknüpfen auswählen kann. Auf dem zweiten Screenshot kann der Nutzer bestätigen, ob er ein Konto für Ihren Dienst hat. Auf dem dritten Screenshot kann der Nutzer das Google-Konto auswählen, das er verknüpfen möchte. Der vierte Screenshot zeigt die Bestätigung für die Verknüpfung des Google-Kontos mit Ihrer App. Der fünfte Screenshot zeigt ein erfolgreich verknüpftes Nutzerkonto in der Google App.
Kontoverknüpfung auf dem Smartphone eines Nutzers mit vereinfachter Verknüpfung

Abbildung 1. Kontoverknüpfung auf dem Smartphone eines Nutzers mit Streamlined Linking

Vereinfachte Verknüpfung: OAuth + „Über Google anmelden“-Ablauf

Das folgende Sequenzdiagramm zeigt die Interaktionen zwischen dem Nutzer, Google und Ihrem Token-Austausch-Endpunkt für die vereinfachte Verknüpfung.

Nutzer Google-App / Server Ihr Token Exchange-Endpunkt Ihre API 1. Nutzer initiiert Verknüpfung 2. „Über Google anmelden“ anfordern 3. Über Google anmelden 4. Intention prüfen (JWT-Assertion) 5. account_found: true/false Wenn Konto gefunden: 6. Intention abrufen Wenn kein Konto vorhanden: 6. Intention erstellen 7. access_token, refresh_token 8. Nutzertokens speichern 9. Auf Nutzerressourcen zugreifen
Abbildung 2. Die Ereignisabfolge im vereinfachten Verknüpfungsprozess
.

Rollen und Verantwortlichkeiten

In der folgenden Tabelle werden die Rollen und Verantwortlichkeiten der Akteure im vereinfachten Verknüpfungsprozess definiert.

Akteur / Komponente GAL-Rolle Zuständigkeiten
Google App / Server OAuth-Client Ruft die Nutzereinwilligung für „Über Google anmelden“ ein, übergibt Identitätszusicherungen (JWT) an Ihren Server und speichert die resultierenden Tokens sicher.
Ihr Token-Austausch-Endpunkt Identitätsanbieter / Autorisierungsserver Validiert Identitätsbehauptungen, prüft auf vorhandene Konten, verarbeitet die Intents zur Kontoverknüpfung (check, get, create) und stellt Tokens basierend auf den angeforderten Intents aus.
Ihre Service-API Ressourcenserver Bietet Zugriff auf Nutzerdaten, wenn ein gültiges Zugriffstoken vorgelegt wird.

Voraussetzungen für die vereinfachte Verknüpfung

Entscheidungslogik für die vereinfachte Verknüpfung

Die folgende Logik bestimmt, wie Intents während des vereinfachten Verknüpfungsvorgangs aufgerufen werden:

  1. Hat der Nutzer ein Konto in Ihrem Authentifizierungssystem? (Der Nutzer entscheidet, indem er JA oder NEIN auswählt)
    1. JA : Verwendet der Nutzer die mit seinem Google-Konto verknüpfte E-Mail-Adresse, um sich auf Ihrer Plattform anzumelden? (Der Nutzer entscheidet, indem er JA oder NEIN auswählt)
      1. JA : Hat der Nutzer ein entsprechendes Konto in Ihrem Authentifizierungssystem? (check intent wird zur Bestätigung aufgerufen)
        1. JA : get intent wird aufgerufen und das Konto wird verknüpft, wenn „get intent“ erfolgreich zurückgegeben wird.
        2. NEIN : Neues Konto erstellen? (Der Nutzer entscheidet, indem er JA oder NEIN auswählt)
          1. JA : create intent wird aufgerufen und das Konto wird verknüpft, wenn der Intent zum Erstellen erfolgreich zurückgegeben wird.
          2. NEIN : Der OAuth-Verknüpfungsvorgang wird ausgelöst, der Nutzer wird zu seinem Browser weitergeleitet und hat die Möglichkeit, eine Verknüpfung mit einer anderen E‑Mail-Adresse herzustellen.
      2. NEIN : Der OAuth-Verknüpfungsvorgang wird ausgelöst, der Nutzer wird zu seinem Browser weitergeleitet und hat die Möglichkeit, eine Verknüpfung mit einer anderen E‑Mail-Adresse herzustellen.
    2. NEIN : Hat der Nutzer ein entsprechendes Konto in Ihrem Authentifizierungssystem? (check intent wird zur Bestätigung aufgerufen)
      1. JA : get intent wird aufgerufen und das Konto wird verknüpft, wenn „get intent“ erfolgreich zurückgegeben wird.
      2. NEIN : create intent wird aufgerufen und das Konto wird verknüpft, wenn der Intent zum Erstellen erfolgreich zurückgegeben wird.

Implementierungsanleitung

Ihr Endpunkt für den Tokenaustausch muss die Intents check, get und create implementieren, um die vereinfachte Kontoverknüpfung zu unterstützen.

So gehen Sie mit den verschiedenen Intents um:

Check for an existing user account (check intent)

Google calls your token exchange endpoint to verify if the Google user exists in your system. For parameter details, see Streamlined Linking Intents.

Implementation Recipe

To handle the check intent, perform the following actions:

  1. Validate the request:

    • Verify client_id, client_secret, and grant_type (must be urn:ietf:params:oauth:grant-type:jwt-bearer).
    • Validate the assertion (JWT) using the criteria in JWT Validation.

  2. Lookup user:

    • Check if the Google Account ID (sub) or email address in the JWT matches a user in your database.

  3. Respond:

    • If found: Return HTTP 200 OK with {"account_found": "true"}.
    • If not found: Return HTTP 404 Not Found with {"account_found": "false"}.

Handle automatic linking (get intent)

If the account exists, Google calls your endpoint with intent=get to retrieve tokens. For parameter details, see Streamlined Linking Intents.

Implementation Recipe

To handle the get intent, perform the following actions:

  1. Validate the request:

    • Verify client_id, client_secret, and grant_type.
    • Validate the assertion (JWT).

  2. Lookup user:

    • Verify the user exists using the sub or email claim.

  3. Respond:

    • If successful: Generate and return access_token, refresh_token, and expires_in in a JSON response (HTTP 200 OK).
    • If linking fails: Return HTTP 401 Unauthorized with {"error": "linking_error"} and an optional login_hint to fall back to standard OAuth linking.

Handle account creation using Sign in with Google (create intent)

If no account exists, Google calls your endpoint with intent=create to create a new user. For parameter details, see Streamlined Linking Intents.

Implementation Recipe

To handle the create intent, perform the following actions:

  1. Validate the request:

    • Verify client_id, client_secret, and grant_type.
    • Validate the assertion (JWT).

  2. Verify user does not exist:

    • Check if the sub or email is already in your database.
    • If the user does exist: Return HTTP 401 Unauthorized with {"error": "linking_error", "login_hint": "USER_EMAIL"} to force fallback to OAuth linking.

  3. Create account:

    • Use the sub, email, name, and picture claims from the JWT to create a new user record.

  4. Respond:

    • Generate and return tokens in a JSON response (HTTP 200 OK).

Google API-Client-ID abrufen

Sie müssen Ihre Google API-Client-ID während der Registrierung für die Kontoverknüpfung angeben. So rufen Sie Ihre API-Client-ID mit dem Projekt ab, das Sie beim Ausführen der Schritte zur OAuth-Verknüpfung erstellt haben: Führen Sie dazu die folgenden Schritte aus:

  1. Rufen Sie die Seite „Clients“ auf.

  2. Erstellen oder wählen Sie ein Google APIs-Projekt aus.

    Wenn Ihr Projekt keine Client-ID für den Webanwendungstyp hat, klicken Sie auf Client erstellen, um eine zu erstellen. Achten Sie darauf, die Domain Ihrer Website im Feld Autorisierte JavaScript-Quellen anzugeben. Wenn Sie lokale Tests oder Entwicklungsarbeiten durchführen, müssen Sie sowohl http://localhost als auch http://localhost:<port_number> dem Feld Autorisierte JavaScript-Quellen hinzufügen.

Implementierung validieren

Sie können Ihre Implementierung mit dem OAuth 2.0 Playground Tool validieren.

Führen Sie im Tool die folgenden Schritte aus:

  1. Klicken Sie auf die Konfigurationseinstellungen , um das Fenster „OAuth 2.0-Konfiguration“ zu öffnen.
  2. Wählen Sie im Feld OAuth-Ablauf die Option Clientseitig aus.
  3. Wählen Sie im Feld OAuth-Endpunkte die Option Benutzerdefiniert aus.
  4. Geben Sie in den entsprechenden Feldern Ihren OAuth 2.0-Endpunkt und die Client-ID an, die Sie Google zugewiesen haben.
  5. Wählen Sie im Abschnitt Schritt 1 keine Google-Bereiche aus. Lassen Sie dieses Feld stattdessen leer oder geben Sie einen für Ihren Server gültigen Bereich ein (oder eine beliebige Zeichenfolge, wenn Sie keine OAuth-Bereiche verwenden). Klicken Sie anschließend auf APIs autorisieren.
  6. Führen Sie in den Abschnitten Schritt 2 und Schritt 3 den OAuth 2.0-Ablauf durch und prüfen Sie, ob jeder Schritt wie vorgesehen funktioniert.

Sie können Ihre Implementierung mit dem Tool „Google-Kontoverknüpfung – Demo“ validieren.

Führen Sie im Tool die folgenden Schritte aus:

  1. Klicken Sie auf die Schaltfläche Mit Google anmelden.
  2. Wählen Sie das Konto aus, das Sie verknüpfen möchten.
  3. Geben Sie die Dienst-ID ein.
  4. Optional können Sie einen oder mehrere Bereiche eingeben, für die Sie Zugriff anfordern möchten.
  5. Klicken Sie auf Demo starten.
  6. Bestätigen Sie bei Aufforderung, dass Sie der Verknüpfungsanfrage zustimmen und sie ablehnen können.
  7. Bestätigen Sie, dass Sie zu Ihrer Plattform weitergeleitet werden.