Penautan yang Disederhanakan dengan OAuth dan Login dengan Google

Ringkasan

Penautan yang Sederhana untuk Login dengan Google berbasis OAuth menambahkan Login dengan Google di atas penautan OAuth. Hal ini memberikan pengalaman penautan yang lancar bagi pengguna Google, dan juga memungkinkan pembuatan akun, yang memungkinkan pengguna membuat akun baru di layanan Anda menggunakan Akun Google mereka.

Untuk melakukan penautan akun dengan OAuth dan Login dengan Google, ikuti langkah-langkah umum berikut:

  1. Pertama, minta pengguna untuk memberikan izin akses ke profil Google mereka.
  2. Gunakan informasi di profil mereka untuk memeriksa apakah akun pengguna ada.
  3. Untuk pengguna yang sudah ada, tautkan akun.
  4. Jika Anda tidak dapat menemukan kecocokan untuk pengguna Google di sistem autentikasi Anda, validasi token ID yang diterima dari Google. Anda kemudian dapat membuat pengguna berdasarkan informasi profil yang terdapat dalam token ID.
Gambar ini menunjukkan langkah-langkah bagi pengguna untuk menautkan akun Google mereka menggunakan alur penautan yang disederhanakan. Screenshot pertama menunjukkan cara pengguna dapat memilih aplikasi Anda untuk ditautkan. Screenshot kedua memungkinkan pengguna mengonfirmasi apakah mereka memiliki akun yang sudah ada di layanan Anda atau tidak. Screenshot ketiga memungkinkan pengguna memilih Akun Google yang ingin ditautkan. Screenshot keempat menampilkan konfirmasi untuk menautkan akun Google mereka dengan aplikasi Anda. Screenshot kelima menampilkan akun pengguna yang berhasil ditautkan di aplikasi Google.
Penautan Akun di ponsel pengguna dengan Penautan yang Sederhana

Gambar 1. Penautan Akun di ponsel pengguna dengan Penautan yang Sederhana

Penautan yang Sederhana: Alur OAuth + Login dengan Google

Diagram urutan berikut menjelaskan interaksi antara Pengguna, Google, dan endpoint pertukaran token Anda untuk Penautan yang Sederhana.

Pengguna Aplikasi /Server Google Token Anda Endpoint Pertukaran API Anda 1. Pengguna memulai penautan 2. Meminta Login dengan Google 3. Login dengan Google 4. memeriksa intent (Pernyataan JWT) 5. account_found: true/false Jika akun ditemukan: 6. mendapatkan intent Jika tidak ada akun: 6. membuat intent 7. access_token, refresh_token 8. Menyimpan token pengguna 9. Mengakses resource pengguna
Gambar 2. Urutan peristiwa dalam alur Penautan yang Sederhana.

Peran dan tanggung jawab

Tabel berikut menentukan peran dan tanggung jawab aktor dalam alur Penautan yang Sederhana.

Aktor / Komponen Peran GAL Tanggung Jawab
Aplikasi / Server Google Klien OAuth Mendapatkan izin pengguna untuk Login dengan Google, meneruskan pernyataan identitas (JWT) ke server Anda, dan menyimpan token yang dihasilkan dengan aman.
Endpoint Pertukaran Token Anda Penyedia Identitas / Server Otorisasi Memvalidasi pernyataan identitas, memeriksa akun yang ada, menangani intent penautan akun (check, get, create), dan menerbitkan token berdasarkan intent yang diminta.
API Layanan Anda Server Resource Memberikan akses ke data pengguna saat token akses yang valid diberikan.

Persyaratan untuk Penautan yang Sederhana

  • Menerapkan alur penautan OAuth dasar. Layanan Anda harus mendukung endpoint otorisasi dan pertukaran token yang sesuai dengan OAuth 2.0.
  • Endpoint pertukaran token Anda harus mendukung pernyataan JSON Web Token (JWT) dan menerapkan intent check, create, dan get.

Logika Keputusan untuk Penautan yang Sederhana

Logika berikut menentukan cara intent dipanggil selama alur Penautan yang Sederhana:

  1. Apakah pengguna memiliki akun di sistem autentikasi Anda? (Pengguna memutuskan dengan memilih YA atau TIDAK)
    1. YA : Apakah pengguna menggunakan email yang terkait dengan Akun Google mereka untuk login ke platform Anda? (Pengguna memutuskan dengan memilih YA atau TIDAK)
      1. YA : Apakah pengguna memiliki akun yang cocok di sistem autentikasi Anda? (check intent dipanggil untuk mengonfirmasi)
        1. YA : get intent dipanggil dan akun ditautkan jika get intent berhasil ditampilkan.
        2. TIDAK : Buat Akun Baru? (Pengguna memutuskan dengan memilih YA atau TIDAK)
          1. YA : create intent dipanggil dan akun ditautkan jika create intent berhasil ditampilkan.
          2. TIDAK : Alur penautan OAuth dipicu, pengguna diarahkan ke browser mereka, dan pengguna diberi opsi untuk menautkan dengan email lain.
      2. TIDAK : Alur penautan OAuth dipicu, pengguna diarahkan ke browser mereka, dan pengguna diberi opsi untuk menautkan dengan email lain.
    2. TIDAK : Apakah pengguna memiliki akun yang cocok di sistem autentikasi Anda? (check intent dipanggil untuk mengonfirmasi)
      1. YA : get intent dipanggil dan akun ditautkan jika get intent berhasil ditampilkan.
      2. TIDAK : create intent dipanggil dan akun ditautkan jika create intent berhasil ditampilkan.

Resep Penerapan

Endpoint pertukaran token Anda harus menerapkan intent check, get, dan create untuk mendukung Penautan yang Sederhana.

Ikuti langkah-langkah berikut untuk menangani berbagai intent:

检查现有用户账号(检查 intent)

Google 会调用您的令牌交换端点,以验证 Google 用户是否存在于您的系统中。如需了解参数详情,请参阅简化的关联 intent

实现方案

如需处理 check intent,请执行以下操作:

  1. 验证请求

    • 验证 client_idclient_secretgrant_type(必须为 urn:ietf:params:oauth:grant-type:jwt-bearer)。
    • 使用 JWT 验证 中的条件验证 assertion (JWT)。

  2. 查找用户

    • 检查 JWT 中的 Google 账号 ID (sub) 或电子邮件地址是否与数据库中的用户匹配。

  3. 回应

    • 如果找到:返回 HTTP 200 OK,并附带 {"account_found": "true"}
    • 如果未找到:返回 HTTP 404 Not Found,并附带 {"account_found": "false"}

Menangani penautan otomatis (mendapatkan intent)

Jika akun ada, Google akan memanggil endpoint Anda dengan intent=get untuk mengambil token. Untuk mengetahui detail parameter, lihat Intent Penautan yang Disederhanakan.

Resep Penerapan

Untuk menangani intent get, lakukan tindakan berikut:

  1. Validasi permintaan:

    • Verifikasi client_id, client_secret, dan grant_type.
    • Validasi assertion (JWT).

  2. Cari pengguna:

    • Verifikasi bahwa pengguna ada menggunakan klaim sub atau email.

  3. Respons:

    • Jika berhasil: Buat dan tampilkan access_token, refresh_token, dan expires_in dalam respons JSON (HTTP 200 OK).
    • Jika penautan gagal: Tampilkan HTTP 401 Unauthorized dengan {"error": "linking_error"} dan login_hint opsional untuk kembali ke penautan OAuth standar.

使用“使用 Google 账号登录”功能处理账号创建事宜(创建 intent)

如果不存在任何账号,Google 会使用 intent=create 调用您的端点,以创建新用户。如需了解参数详情,请参阅 Streamlined Linking Intents

实现方案

如需处理 create intent,请执行以下操作:

  1. 验证请求

    • 验证 client_idclient_secretgrant_type
    • 验证 assertion (JWT)。

  2. 验证用户不存在

    • 检查您的数据库中是否已存在 subemail
    • 如果用户 存在,请返回 HTTP 401 Unauthorized,并使用 {"error": "linking_error", "login_hint": "USER_EMAIL"} 强制回退到 OAuth 关联。

  3. 创建账号

    • 使用 JWT 中的 subemailnamepicture 声明创建新的用户记录。

  4. 回应

    • 在 JSON 响应 (HTTP 200 OK) 中生成并返回令牌。

Mendapatkan Client ID Google API Anda

Anda akan diminta untuk memberikan Client ID Google API Anda selama proses pendaftaran Penautan Akun . Untuk mendapatkan Client ID API Anda menggunakan project yang Anda buat saat menyelesaikan langkah-langkah penautan OAuth. Untuk melakukannya, selesaikan langkah-langkah berikut:

  1. Buka halaman Klien.

  2. Buat atau pilih project Google API.

    Jika project Anda tidak memiliki Client ID untuk Jenis aplikasi Web, klik Buat Klien untuk membuatnya. Pastikan untuk menyertakan domain situs Anda di kotak Asal JavaScript yang sah. Saat Anda melakukan pengujian atau pengembangan lokal, Anda harus menambahkan http://localhost dan http://localhost:<port_number> ke kolom Asal JavaScript yang sah.

Memvalidasi penerapan

Anda dapat memvalidasi penerapan dengan menggunakan alat OAuth 2.0 Playground.

Di alat, lakukan langkah-langkah berikut:

  1. Klik Konfigurasi untuk membuka jendela Konfigurasi OAuth 2.0.
  2. Di kolom OAuth flow, pilih Client-side.
  3. Di kolom OAuth Endpoints, pilih Custom.
  4. Tentukan endpoint OAuth 2.0 dan client ID yang Anda tetapkan ke Google di kolom yang sesuai.
  5. Di bagian Langkah 1, jangan pilih cakupan Google apa pun. Sebagai gantinya, biarkan kolom ini kosong atau ketik cakupan yang valid untuk server Anda (atau string arbitrer jika Anda tidak menggunakan cakupan OAuth). Setelah selesai, klik Izinkan API.
  6. Di bagian Langkah 2 dan Langkah 3, ikuti alur OAuth 2.0 dan verifikasi bahwa setiap langkah berfungsi sebagaimana mestinya.

Anda dapat memvalidasi penerapan dengan menggunakan alat Demo Penautan Akun Google.

Di alat, lakukan langkah-langkah berikut:

  1. Klik tombol Login dengan Google.
  2. Pilih akun yang ingin Anda tautkan.
  3. Masukkan ID layanan.
  4. Secara opsional, masukkan satu atau beberapa cakupan yang akan Anda minta aksesnya.
  5. Klik Mulai Demo.
  6. Jika diminta, konfirmasi bahwa Anda dapat menyetujui dan menolak permintaan penautan.
  7. Konfirmasi bahwa Anda dialihkan ke platform Anda.