Quy trình liên kết tinh giản bằng OAuth và tính năng Đăng nhập bằng Google

Tổng quan

Tính năng Đăng nhập bằng Google dựa trên OAuth giúp đơn giản hoá quy trình liên kết sẽ thêm tính năng Đăng nhập bằng Google vào quy trình liên kết bằng OAuth. Điều này mang lại trải nghiệm liên kết liền mạch cho người dùng Google, đồng thời cho phép tạo tài khoản, giúp người dùng tạo tài khoản mới trên dịch vụ của bạn bằng Tài khoản Google của họ.

Để thực hiện liên kết tài khoản bằng OAuth và Đăng nhập bằng Google, hãy làm theo các bước chung sau:

1. Trước tiên, hãy yêu cầu người dùng đồng ý cho phép truy cập vào Hồ sơ trên Google của họ.
2. Sử dụng thông tin trong hồ sơ của họ để kiểm tra xem tài khoản người dùng có tồn tại hay không.
3. Đối với người dùng hiện tại, hãy liên kết các tài khoản.
4. Nếu bạn không tìm thấy người dùng Google nào khớp trong hệ thống xác thực của mình, hãy xác thực mã thông báo nhận dạng nhận được từ Google. Sau đó, bạn có thể tạo một người dùng dựa trên thông tin hồ sơ có trong mã thông báo nhận dạng.

Hình 1 Liên kết tài khoản trên điện thoại của người dùng bằng tính năng Liên kết đơn giản

Liên kết tinh giản: OAuth + quy trình Đăng nhập bằng Google

Sơ đồ trình tự sau đây trình bày chi tiết các lượt tương tác giữa Người dùng, Google và điểm cuối trao đổi mã thông báo của bạn cho tính năng Liên kết tinh giản.

Vai trò và trách nhiệm

Bảng sau đây xác định vai trò và trách nhiệm của các tác nhân trong quy trình Liên kết tinh giản.

Người thực hiện / Thành phần	Vai trò GAL	Yêu cầu của công việc
Ứng dụng / Máy chủ của Google	Ứng dụng OAuth	Lấy sự đồng ý của người dùng cho tính năng Đăng nhập bằng Google, truyền các câu khẳng định về danh tính (JWT) đến máy chủ của bạn và lưu trữ an toàn các mã thông báo nhận được.
Điểm cuối trao đổi mã thông báo	Nhà cung cấp dịch vụ danh tính / Máy chủ uỷ quyền	Xác thực các câu khẳng định về danh tính, kiểm tra các tài khoản hiện có, xử lý các ý định liên kết tài khoản (check, get, create) và phát hành mã thông báo dựa trên các ý định được yêu cầu.
API Dịch vụ của bạn	Máy chủ tài nguyên	Cung cấp quyền truy cập vào dữ liệu người dùng khi được cung cấp mã truy cập hợp lệ.

Yêu cầu đối với tính năng Liên kết đơn giản

• Triển khai quy trình liên kết OAuth cơ bản. Dịch vụ của bạn phải hỗ trợ các điểm cuối uỷ quyền và trao đổi mã thông báo tuân thủ OAuth 2.0.
• Điểm cuối trao đổi mã thông báo phải hỗ trợ các câu khẳng định Mã thông báo web JSON (JWT) và triển khai các ý định check, create và get.

• Đăng ký mã ứng dụng khách Google API.

Logic quyết định để đơn giản hoá quy trình liên kết

Logic sau đây xác định cách gọi các ý định trong quy trình Liên kết tinh giản:

1. Người dùng có tài khoản trong hệ thống xác thực của bạn không? (Người dùng quyết định bằng cách chọn CÓ hoặc KHÔNG)
   1. CÓ : Người dùng có sử dụng email liên kết với Tài khoản Google của họ để đăng nhập vào nền tảng của bạn không? (Người dùng quyết định bằng cách chọn CÓ hoặc KHÔNG)
      1. CÓ : Người dùng có tài khoản trùng khớp trong hệ thống xác thực của bạn không? (Gọi check intent để xác nhận)
         1. CÓ : get intent được gọi và tài khoản được liên kết nếu ý định nhận được trả về thành công.
         2. KHÔNG : Tạo tài khoản mới? (Người dùng quyết định bằng cách chọn CÓ hoặc KHÔNG)
            1. CÓ : create intent được gọi và tài khoản được liên kết nếu ý định tạo trả về thành công.
            2. KHÔNG : Quy trình liên kết OAuth được kích hoạt, người dùng được chuyển hướng đến trình duyệt của họ và người dùng có thể liên kết với một email khác.
      2. KHÔNG : Quy trình liên kết OAuth được kích hoạt, người dùng được chuyển hướng đến trình duyệt của họ và người dùng có thể chọn liên kết với một email khác.
   2. KHÔNG : Người dùng có tài khoản trùng khớp trong hệ thống xác thực của bạn không? (Gọi check intent để xác nhận)
      1. CÓ : get intent được gọi và tài khoản được liên kết nếu ý định nhận được trả về thành công.
      2. KHÔNG : create intent được gọi và tài khoản được liên kết nếu ý định tạo trả về thành công.

Công thức triển khai

Điểm cuối trao đổi mã thông báo của bạn phải triển khai các ý định check, get và create để hỗ trợ tính năng Liên kết tinh giản.

Hãy làm theo các bước sau để xử lý các ý định khác nhau:

检查现有用户账号（检查 intent）

Google 会调用您的令牌交换端点，以验证 Google 用户是否存在于您的系统中。如需了解参数详情，请参阅简化的关联 intent。

实现方案

如需处理 check intent，请执行以下操作：

1. 验证请求：

   • 验证 client_id、client_secret 和 grant_type（必须为 urn:ietf:params:oauth:grant-type:jwt-bearer）。
   • 使用 JWT 验证 中的条件验证 assertion (JWT)。

2. 查找用户：

   • 检查 JWT 中的 Google 账号 ID (sub) 或电子邮件地址是否与数据库中的用户匹配。

3. 回应：

   • 如果找到：返回 HTTP 200 OK，并附带 {"account_found": "true"}。
   • 如果未找到：返回 HTTP 404 Not Found，并附带 {"account_found": "false"}。

处理自动关联（获取 intent）

如果该账号存在，Google 会使用 intent=get 调用您的端点以检索令牌。如需了解参数详情，请参阅简化的关联 intent。

实施方案

如需处理 get intent，请执行以下操作：

1. 验证请求：

   • 验证 client_id、client_secret 和 grant_type。
   • 验证 assertion (JWT)。

2. 查找用户：

   • 使用 sub 或 email 声明验证用户是否存在。

3. 回应：

   • 如果成功：在 JSON 响应 (HTTP 200 OK) 中生成并返回 access_token、refresh_token 和 expires_in。
   • 如果关联失败：返回 HTTP 401 Unauthorized，其中包含 {"error": "linking_error"} 和可选的 login_hint，以便回退到标准 OAuth 关联。

使用“使用 Google 账号登录”功能处理账号创建事宜（创建 intent）

如果不存在任何账号，Google 会使用 intent=create 调用您的端点，以创建新用户。如需了解参数详情，请参阅 Streamlined Linking Intents。

实现方案

如需处理 create intent，请执行以下操作：

1. 验证请求：

   • 验证 client_id、client_secret 和 grant_type。
   • 验证 assertion (JWT)。

2. 验证用户不存在：

   • 检查您的数据库中是否已存在 sub 或 email。
   • 如果用户 存在，请返回 HTTP 401 Unauthorized，并使用 {"error": "linking_error", "login_hint": "USER_EMAIL"} 强制回退到 OAuth 关联。

3. 创建账号：

   • 使用 JWT 中的 sub、email、name 和 picture 声明创建新的用户记录。

4. 回应：

   • 在 JSON 响应 (HTTP 200 OK) 中生成并返回令牌。

Lấy Mã ứng dụng khách Google API

Bạn sẽ phải cung cấp Mã ứng dụng API Google trong quá trình đăng ký Liên kết tài khoản. Để lấy Mã ứng dụng API bằng dự án mà bạn đã tạo trong khi hoàn tất các bước liên kết OAuth. Để làm như vậy, hãy hoàn tất các bước sau:

1. Chuyển đến trang Ứng dụng.

2. Tạo hoặc chọn một dự án API của Google.

   Nếu dự án của bạn không có Mã ứng dụng cho Loại ứng dụng web, hãy nhấp vào Tạo ứng dụng để tạo một mã ứng dụng. Hãy nhớ thêm miền của trang web vào hộp Nguồn gốc JavaScript được uỷ quyền. Khi thực hiện kiểm thử hoặc phát triển cục bộ, bạn phải thêm cả http://localhost và http://localhost:<port_number> vào trường Nguồn gốc JavaScript được uỷ quyền.

Xác thực cách triển khai của bạn

Bạn có thể xác thực việc triển khai bằng cách sử dụng công cụ OAuth 2.0 Playground.

Trong công cụ này, hãy thực hiện các bước sau:

1. Nhấp vào Configuration settings để mở cửa sổ OAuth 2.0 Configuration (Cấu hình OAuth 2.0).
2. Trong trường OAuth flow (Quy trình OAuth), hãy chọn Client-side (Phía máy khách).
3. Trong trường OAuth Endpoints (Điểm cuối OAuth), hãy chọn Custom (Tuỳ chỉnh).
4. Chỉ định điểm cuối OAuth 2.0 và mã ứng dụng khách mà bạn đã chỉ định cho Google trong các trường tương ứng.
5. Trong phần Step 1 (Bước 1), đừng chọn phạm vi nào của Google. Thay vào đó, hãy để trống trường này hoặc nhập một phạm vi hợp lệ cho máy chủ của bạn (hoặc một chuỗi tuỳ ý nếu bạn không sử dụng phạm vi OAuth). Khi hoàn tất, hãy nhấp vào Authorize APIs (Cấp quyền cho API).
6. Trong phần Step 2 (Bước 2) và Step 3 (Bước 3), hãy thực hiện quy trình OAuth 2.0 và xác minh rằng mỗi bước đều hoạt động như dự kiến.

Bạn có thể xác thực việc triển khai bằng cách sử dụng công cụ Google Account Linking Demo.

Trong công cụ này, hãy thực hiện các bước sau:

1. Nhấp vào nút Sign in with Google (Đăng nhập bằng Google).
2. Chọn tài khoản mà bạn muốn liên kết.
3. Nhập mã dịch vụ.
4. Bạn có thể nhập một hoặc nhiều phạm vi mà bạn sẽ yêu cầu quyền truy cập.
5. Nhấp vào Start Demo (Bắt đầu bản minh hoạ).
6. Khi được nhắc, hãy xác nhận rằng bạn có thể đồng ý và từ chối yêu cầu liên kết.
7. Xác nhận rằng bạn được chuyển hướng đến nền tảng của mình.