Vereinfachte Verknüpfung mit OAuth und „Über Google anmelden“

Übersicht

OAuth-basierte optimierte Verknüpfung für die Google-Anmeldung fügt die Google-Anmeldung zusätzlich zur OAuth-Verknüpfung hinzu. So können Google-Nutzer ihre Konten nahtlos verknüpfen. Außerdem wird die Kontoerstellung ermöglicht, sodass Nutzer mit ihrem Google-Konto ein neues Konto für Ihren Dienst erstellen können.

So verknüpfst du Konten mit OAuth und „Über Google anmelden“:

  1. Bitten Sie den Nutzer zuerst um die Einwilligung, auf sein Google-Profil zuzugreifen.
  2. Prüfen Sie anhand der Informationen im Profil, ob das Nutzerkonto vorhanden ist.
  3. Verknüpfen Sie die Konten für bestehende Nutzer.
  4. Wenn Sie in Ihrem Authentifizierungssystem keine Übereinstimmung für den Google-Nutzer finden, validieren Sie das von Google empfangene ID-Token. Anschließend können Sie einen Nutzer basierend auf den Profilinformationen im ID-Token erstellen.
In dieser Abbildung sind die Schritte dargestellt, die ein Nutzer ausführen muss, um sein Google-Konto über den optimierten Verknüpfungsvorgang zu verknüpfen. Auf dem ersten Screenshot ist zu sehen, wie ein Nutzer Ihre App zum Verknüpfen auswählen kann. Auf dem zweiten Screenshot kann der Nutzer bestätigen, ob er ein Konto für Ihren Dienst hat. Auf dem dritten Screenshot kann der Nutzer das Google-Konto auswählen, das er verknüpfen möchte. Der vierte Screenshot zeigt die Bestätigung für die Verknüpfung des Google-Kontos mit Ihrer App. Der fünfte Screenshot zeigt ein erfolgreich verknüpftes Nutzerkonto in der Google App.
Kontoverknüpfung auf dem Smartphone eines Nutzers mit vereinfachter Verknüpfung

Abbildung 1. Kontoverknüpfung auf dem Smartphone eines Nutzers mit Streamlined Linking

Vereinfachte Verknüpfung: OAuth + „Über Google anmelden“-Ablauf

Das folgende Sequenzdiagramm zeigt die Interaktionen zwischen dem Nutzer, Google und Ihrem Token-Austausch-Endpunkt für die vereinfachte Verknüpfung.

Nutzer Google-App / Server Ihr Token Exchange-Endpunkt Ihre API 1. Nutzer initiiert Verknüpfung 2. „Über Google anmelden“ anfordern 3. Über Google anmelden 4. Intention prüfen (JWT-Assertion) 5. account_found: true/false Wenn Konto gefunden: 6. Intention abrufen Wenn kein Konto vorhanden: 6. Intention erstellen 7. access_token, refresh_token 8. Nutzertokens speichern 9. Auf Nutzerressourcen zugreifen
Abbildung 2. Die Ereignisabfolge im vereinfachten Verknüpfungsprozess
.

Rollen und Verantwortlichkeiten

In der folgenden Tabelle werden die Rollen und Verantwortlichkeiten der Akteure im vereinfachten Verknüpfungsprozess definiert.

Akteur / Komponente GAL-Rolle Zuständigkeiten
Google App / Server OAuth-Client Ruft die Nutzereinwilligung für „Über Google anmelden“ ein, übergibt Identitätszusicherungen (JWT) an Ihren Server und speichert die resultierenden Tokens sicher.
Ihr Token-Austausch-Endpunkt Identitätsanbieter / Autorisierungsserver Validiert Identitätsbehauptungen, prüft auf vorhandene Konten, verarbeitet die Intents zur Kontoverknüpfung (check, get, create) und stellt Tokens basierend auf den angeforderten Intents aus.
Ihre Service-API Ressourcenserver Bietet Zugriff auf Nutzerdaten, wenn ein gültiges Zugriffstoken vorgelegt wird.

Voraussetzungen für die vereinfachte Verknüpfung

Entscheidungslogik für die vereinfachte Verknüpfung

Die folgende Logik bestimmt, wie Intents während des vereinfachten Verknüpfungsvorgangs aufgerufen werden:

  1. Hat der Nutzer ein Konto in Ihrem Authentifizierungssystem? (Der Nutzer entscheidet, indem er JA oder NEIN auswählt)
    1. JA : Verwendet der Nutzer die mit seinem Google-Konto verknüpfte E-Mail-Adresse, um sich auf Ihrer Plattform anzumelden? (Der Nutzer entscheidet, indem er JA oder NEIN auswählt)
      1. JA : Hat der Nutzer ein entsprechendes Konto in Ihrem Authentifizierungssystem? (check intent wird zur Bestätigung aufgerufen)
        1. JA : get intent wird aufgerufen und das Konto wird verknüpft, wenn „get intent“ erfolgreich zurückgegeben wird.
        2. NEIN : Neues Konto erstellen? (Der Nutzer entscheidet, indem er JA oder NEIN auswählt)
          1. JA : create intent wird aufgerufen und das Konto wird verknüpft, wenn der Intent zum Erstellen erfolgreich zurückgegeben wird.
          2. NEIN : Der OAuth-Verknüpfungsvorgang wird ausgelöst, der Nutzer wird zu seinem Browser weitergeleitet und hat die Möglichkeit, eine Verknüpfung mit einer anderen E‑Mail-Adresse herzustellen.
      2. NEIN : Der OAuth-Verknüpfungsvorgang wird ausgelöst, der Nutzer wird zu seinem Browser weitergeleitet und hat die Möglichkeit, eine Verknüpfung mit einer anderen E‑Mail-Adresse herzustellen.
    2. NEIN : Hat der Nutzer ein entsprechendes Konto in Ihrem Authentifizierungssystem? (check intent wird zur Bestätigung aufgerufen)
      1. JA : get intent wird aufgerufen und das Konto wird verknüpft, wenn „get intent“ erfolgreich zurückgegeben wird.
      2. NEIN : create intent wird aufgerufen und das Konto wird verknüpft, wenn der Intent zum Erstellen erfolgreich zurückgegeben wird.

Implementierungsanleitung

Ihr Endpunkt für den Tokenaustausch muss die Intents check, get und create implementieren, um die vereinfachte Kontoverknüpfung zu unterstützen.

So gehen Sie mit den verschiedenen Intents um:

检查现有用户账号(检查 intent)

Google 会调用您的令牌交换端点,以验证 Google 用户是否存在于您的系统中。如需了解参数详情,请参阅简化的关联 intent

实现方案

如需处理 check intent,请执行以下操作:

  1. 验证请求

    • 验证 client_idclient_secretgrant_type(必须为 urn:ietf:params:oauth:grant-type:jwt-bearer)。
    • 使用 JWT 验证 中的条件验证 assertion (JWT)。

  2. 查找用户

    • 检查 JWT 中的 Google 账号 ID (sub) 或电子邮件地址是否与数据库中的用户匹配。

  3. 回应

    • 如果找到:返回 HTTP 200 OK,并附带 {"account_found": "true"}
    • 如果未找到:返回 HTTP 404 Not Found,并附带 {"account_found": "false"}

处理自动关联(获取 intent)

如果该账号存在,Google 会使用 intent=get 调用您的端点以检索令牌。如需了解参数详情,请参阅简化的关联 intent

实施方案

如需处理 get intent,请执行以下操作:

  1. 验证请求

    • 验证 client_idclient_secretgrant_type
    • 验证 assertion (JWT)。

  2. 查找用户

    • 使用 subemail 声明验证用户是否存在。

  3. 回应

    • 如果成功:在 JSON 响应 (HTTP 200 OK) 中生成并返回 access_tokenrefresh_tokenexpires_in
    • 如果关联失败:返回 HTTP 401 Unauthorized,其中包含 {"error": "linking_error"} 和可选的 login_hint,以便回退到标准 OAuth 关联。

使用“使用 Google 账号登录”功能处理账号创建事宜(创建 intent)

如果不存在任何账号,Google 会使用 intent=create 调用您的端点,以创建新用户。如需了解参数详情,请参阅 Streamlined Linking Intents

实现方案

如需处理 create intent,请执行以下操作:

  1. 验证请求

    • 验证 client_idclient_secretgrant_type
    • 验证 assertion (JWT)。

  2. 验证用户不存在

    • 检查您的数据库中是否已存在 subemail
    • 如果用户 存在,请返回 HTTP 401 Unauthorized,并使用 {"error": "linking_error", "login_hint": "USER_EMAIL"} 强制回退到 OAuth 关联。

  3. 创建账号

    • 使用 JWT 中的 subemailnamepicture 声明创建新的用户记录。

  4. 回应

    • 在 JSON 响应 (HTTP 200 OK) 中生成并返回令牌。

Google API-Client-ID abrufen

Sie müssen Ihre Google API-Client-ID während der Registrierung für die Kontoverknüpfung angeben. So rufen Sie Ihre API-Client-ID mit dem Projekt ab, das Sie beim Ausführen der Schritte zur OAuth-Verknüpfung erstellt haben: Führen Sie dazu die folgenden Schritte aus:

  1. Rufen Sie die Seite „Clients“ auf.

  2. Erstellen oder wählen Sie ein Google APIs-Projekt aus.

    Wenn Ihr Projekt keine Client-ID für den Webanwendungstyp hat, klicken Sie auf Client erstellen, um eine zu erstellen. Achten Sie darauf, die Domain Ihrer Website im Feld Autorisierte JavaScript-Quellen anzugeben. Wenn Sie lokale Tests oder Entwicklungsarbeiten durchführen, müssen Sie sowohl http://localhost als auch http://localhost:<port_number> dem Feld Autorisierte JavaScript-Quellen hinzufügen.

Implementierung validieren

您可以使用 OAuth 2.0 Playground 工具验证您的实现。

在该工具中,执行以下步骤:

  1. 点击配置 以打开“OAuth 2.0 配置”窗口。
  2. OAuth flow(OAuth 流程)字段中,选择 Client-side(客户端)。
  3. OAuth Endpoints 字段中,选择 Custom
  4. 在相应字段中指定您的 OAuth 2.0 端点以及您分配给 Google 的客户端 ID。
  5. 第 1 步部分中,请勿选择任何 Google 范围。请将此字段留空,或输入适用于您服务器的范围(如果您不使用 OAuth 范围,则输入任意字符串)。完成后,点击 Authorize APIs
  6. 第 2 步第 3 步部分中,完成 OAuth 2.0 流程,并验证每个步骤是否按预期运行。

您可以使用 Google 账号关联演示工具验证您的实现。

在该工具中,执行以下步骤:

  1. 点击使用 Google 账号登录按钮。
  2. 选择您要关联的账号。
  3. 输入服务 ID。
  4. (可选)输入您将请求访问的一个或多个范围。
  5. 点击开始演示
  6. 当系统提示时,请确认您可以同意或拒绝关联请求。
  7. 确认您已重定向到相应平台。