Quy trình liên kết tinh giản bằng OAuth và tính năng Đăng nhập bằng Google

Tổng quan

Tính năng Đăng nhập bằng Google dựa trên OAuth giúp đơn giản hoá quy trình liên kết sẽ thêm tính năng Đăng nhập bằng Google vào quy trình liên kết bằng OAuth. Điều này mang lại trải nghiệm liên kết liền mạch cho người dùng Google, đồng thời cho phép tạo tài khoản, giúp người dùng tạo tài khoản mới trên dịch vụ của bạn bằng Tài khoản Google của họ.

Để thực hiện liên kết tài khoản bằng OAuth và Đăng nhập bằng Google, hãy làm theo các bước chung sau:

  1. Trước tiên, hãy yêu cầu người dùng đồng ý cho phép truy cập vào Hồ sơ trên Google của họ.
  2. Sử dụng thông tin trong hồ sơ của họ để kiểm tra xem tài khoản người dùng có tồn tại hay không.
  3. Đối với người dùng hiện tại, hãy liên kết các tài khoản.
  4. Nếu bạn không tìm thấy người dùng Google nào khớp trong hệ thống xác thực của mình, hãy xác thực mã thông báo nhận dạng nhận được từ Google. Sau đó, bạn có thể tạo một người dùng dựa trên thông tin hồ sơ có trong mã thông báo nhận dạng.
Hình này minh hoạ các bước để người dùng liên kết Tài khoản Google của họ bằng quy trình liên kết tinh giản. Ảnh chụp màn hình đầu tiên cho thấy cách người dùng có thể chọn ứng dụng của bạn để liên kết. Ảnh chụp màn hình thứ hai cho phép người dùng xác nhận xem họ có tài khoản hiện có trên dịch vụ của bạn hay không. Ảnh chụp màn hình thứ ba cho phép người dùng chọn Tài khoản Google mà họ muốn liên kết. Ảnh chụp màn hình thứ tư cho thấy thông báo xác nhận việc liên kết Tài khoản Google của người dùng với ứng dụng của bạn. Ảnh chụp màn hình thứ năm cho thấy một tài khoản người dùng đã được liên kết thành công trong ứng dụng Google.
Liên kết tài khoản trên điện thoại của người dùng bằng tính năng Liên kết đơn giản

Hình 1 Liên kết tài khoản trên điện thoại của người dùng bằng tính năng Liên kết đơn giản

Liên kết tinh giản: OAuth + quy trình Đăng nhập bằng Google

Sơ đồ trình tự sau đây trình bày chi tiết các lượt tương tác giữa Người dùng, Google và điểm cuối trao đổi mã thông báo của bạn cho tính năng Liên kết tinh giản.

Người dùng Ứng dụng Google / Máy chủ Mã thông báo của bạn Điểm cuối trao đổi API của bạn 1. Người dùng bắt đầu liên kết 2. Yêu cầu Đăng nhập bằng Google 3. Đăng nhập bằng Google 4. check intent (JWT Assertion) 5. account_found: true/false Nếu tìm thấy tài khoản: 6. get intent Nếu không tìm thấy tài khoản: 6. create intent 7. access_token, refresh_token 8. Lưu trữ mã thông báo người dùng 9. Truy cập vào tài nguyên của người dùng
Hình 2. Trình tự các sự kiện trong quy trình Liên kết đơn giản.

Vai trò và trách nhiệm

Bảng sau đây xác định vai trò và trách nhiệm của các tác nhân trong quy trình Liên kết tinh giản.

Người thực hiện / Thành phần Vai trò GAL Yêu cầu của công việc
Ứng dụng / Máy chủ của Google Ứng dụng OAuth Lấy sự đồng ý của người dùng cho tính năng Đăng nhập bằng Google, truyền các câu khẳng định về danh tính (JWT) đến máy chủ của bạn và lưu trữ an toàn các mã thông báo nhận được.
Điểm cuối trao đổi mã thông báo Nhà cung cấp dịch vụ danh tính / Máy chủ uỷ quyền Xác thực các câu khẳng định về danh tính, kiểm tra các tài khoản hiện có, xử lý các ý định liên kết tài khoản (check, get, create) và phát hành mã thông báo dựa trên các ý định được yêu cầu.
API Dịch vụ của bạn Máy chủ tài nguyên Cung cấp quyền truy cập vào dữ liệu người dùng khi được cung cấp mã truy cập hợp lệ.

Yêu cầu đối với tính năng Liên kết đơn giản

  • Triển khai quy trình liên kết OAuth cơ bản. Dịch vụ của bạn phải hỗ trợ các điểm cuối uỷ quyềntrao đổi mã thông báo tuân thủ OAuth 2.0.
  • Điểm cuối trao đổi mã thông báo phải hỗ trợ các câu khẳng định Mã thông báo web JSON (JWT) và triển khai các ý định check, createget.

Logic quyết định để đơn giản hoá quy trình liên kết

Logic sau đây xác định cách gọi các ý định trong quy trình Liên kết tinh giản:

  1. Người dùng có tài khoản trong hệ thống xác thực của bạn không? (Người dùng quyết định bằng cách chọn CÓ hoặc KHÔNG)
    1. CÓ : Người dùng có sử dụng email liên kết với Tài khoản Google của họ để đăng nhập vào nền tảng của bạn không? (Người dùng quyết định bằng cách chọn CÓ hoặc KHÔNG)
      1. CÓ : Người dùng có tài khoản trùng khớp trong hệ thống xác thực của bạn không? (Gọi check intent để xác nhận)
        1. CÓ : get intent được gọi và tài khoản được liên kết nếu ý định nhận được trả về thành công.
        2. KHÔNG : Tạo tài khoản mới? (Người dùng quyết định bằng cách chọn CÓ hoặc KHÔNG)
          1. CÓ : create intent được gọi và tài khoản được liên kết nếu ý định tạo trả về thành công.
          2. KHÔNG : Quy trình liên kết OAuth được kích hoạt, người dùng được chuyển hướng đến trình duyệt của họ và người dùng có thể liên kết với một email khác.
      2. KHÔNG : Quy trình liên kết OAuth được kích hoạt, người dùng được chuyển hướng đến trình duyệt của họ và người dùng có thể chọn liên kết với một email khác.
    2. KHÔNG : Người dùng có tài khoản trùng khớp trong hệ thống xác thực của bạn không? (Gọi check intent để xác nhận)
      1. CÓ : get intent được gọi và tài khoản được liên kết nếu ý định nhận được trả về thành công.
      2. KHÔNG : create intent được gọi và tài khoản được liên kết nếu ý định tạo trả về thành công.

Công thức triển khai

Điểm cuối trao đổi mã thông báo của bạn phải triển khai các ý định check, getcreate để hỗ trợ tính năng Liên kết tinh giản.

Hãy làm theo các bước sau để xử lý các ý định khác nhau:

检查现有用户账号(检查 intent)

Google 会调用您的令牌交换端点,以验证 Google 用户是否存在于您的系统中。如需了解参数详情,请参阅简化的关联 intent

实现方案

如需处理 check intent,请执行以下操作:

  1. 验证请求

    • 验证 client_idclient_secretgrant_type(必须为 urn:ietf:params:oauth:grant-type:jwt-bearer)。
    • 使用 JWT 验证 中的条件验证 assertion (JWT)。

  2. 查找用户

    • 检查 JWT 中的 Google 账号 ID (sub) 或电子邮件地址是否与数据库中的用户匹配。

  3. 回应

    • 如果找到:返回 HTTP 200 OK,并附带 {"account_found": "true"}
    • 如果未找到:返回 HTTP 404 Not Found,并附带 {"account_found": "false"}

处理自动关联(获取 intent)

如果该账号存在,Google 会使用 intent=get 调用您的端点以检索令牌。如需了解参数详情,请参阅简化的关联 intent

实施方案

如需处理 get intent,请执行以下操作:

  1. 验证请求

    • 验证 client_idclient_secretgrant_type
    • 验证 assertion (JWT)。

  2. 查找用户

    • 使用 subemail 声明验证用户是否存在。

  3. 回应

    • 如果成功:在 JSON 响应 (HTTP 200 OK) 中生成并返回 access_tokenrefresh_tokenexpires_in
    • 如果关联失败:返回 HTTP 401 Unauthorized,其中包含 {"error": "linking_error"} 和可选的 login_hint,以便回退到标准 OAuth 关联。

使用“使用 Google 账号登录”功能处理账号创建事宜(创建 intent)

如果不存在任何账号,Google 会使用 intent=create 调用您的端点,以创建新用户。如需了解参数详情,请参阅 Streamlined Linking Intents

实现方案

如需处理 create intent,请执行以下操作:

  1. 验证请求

    • 验证 client_idclient_secretgrant_type
    • 验证 assertion (JWT)。

  2. 验证用户不存在

    • 检查您的数据库中是否已存在 subemail
    • 如果用户 存在,请返回 HTTP 401 Unauthorized,并使用 {"error": "linking_error", "login_hint": "USER_EMAIL"} 强制回退到 OAuth 关联。

  3. 创建账号

    • 使用 JWT 中的 subemailnamepicture 声明创建新的用户记录。

  4. 回应

    • 在 JSON 响应 (HTTP 200 OK) 中生成并返回令牌。

Lấy Mã ứng dụng khách Google API

Bạn sẽ phải cung cấp Mã ứng dụng API Google trong quá trình đăng ký Liên kết tài khoản. Để lấy Mã ứng dụng API bằng dự án mà bạn đã tạo trong khi hoàn tất các bước liên kết OAuth. Để làm như vậy, hãy hoàn tất các bước sau:

  1. Chuyển đến trang Ứng dụng.

  2. Tạo hoặc chọn một dự án API của Google.

    Nếu dự án của bạn không có Mã ứng dụng cho Loại ứng dụng web, hãy nhấp vào Tạo ứng dụng để tạo một mã ứng dụng. Hãy nhớ thêm miền của trang web vào hộp Nguồn gốc JavaScript được uỷ quyền. Khi thực hiện kiểm thử hoặc phát triển cục bộ, bạn phải thêm cả http://localhosthttp://localhost:<port_number> vào trường Nguồn gốc JavaScript được uỷ quyền.

Xác thực cách triển khai của bạn

您可以使用 OAuth 2.0 Playground 工具验证您的实现。

在该工具中,执行以下步骤:

  1. 点击配置 以打开“OAuth 2.0 配置”窗口。
  2. OAuth flow(OAuth 流程)字段中,选择 Client-side(客户端)。
  3. OAuth Endpoints 字段中,选择 Custom
  4. 在相应字段中指定您的 OAuth 2.0 端点以及您分配给 Google 的客户端 ID。
  5. 第 1 步部分中,请勿选择任何 Google 范围。请将此字段留空,或输入适用于您服务器的范围(如果您不使用 OAuth 范围,则输入任意字符串)。完成后,点击 Authorize APIs
  6. 第 2 步第 3 步部分中,完成 OAuth 2.0 流程,并验证每个步骤是否按预期运行。

您可以使用 Google 账号关联演示工具验证您的实现。

在该工具中,执行以下步骤:

  1. 点击使用 Google 账号登录按钮。
  2. 选择您要关联的账号。
  3. 输入服务 ID。
  4. (可选)输入您将请求访问的一个或多个范围。
  5. 点击开始演示
  6. 当系统提示时,请确认您可以同意或拒绝关联请求。
  7. 确认您已重定向到相应平台。