সংক্ষিপ্ত বিবরণ
OAuth-ভিত্তিক সাইন ইন উইথ গুগল স্ট্রিমলাইনড লিঙ্কিং, OAuth লিঙ্কিং- এর উপরে সাইন ইন উইথ গুগল সুবিধাটি যুক্ত করে। এটি গুগল ব্যবহারকারীদের জন্য একটি নির্বিঘ্ন লিঙ্কিং অভিজ্ঞতা প্রদান করে এবং অ্যাকাউন্ট তৈরির সুবিধাও দেয়, যার মাধ্যমে ব্যবহারকারী তার গুগল অ্যাকাউন্ট ব্যবহার করে আপনার পরিষেবাতে একটি নতুন অ্যাকাউন্ট তৈরি করতে পারেন।
OAuth এবং Sign in with Google ব্যবহার করে অ্যাকাউন্ট লিঙ্ক করার জন্য, এই সাধারণ ধাপগুলো অনুসরণ করুন:
- প্রথমে, ব্যবহারকারীর গুগল প্রোফাইল অ্যাক্সেস করার জন্য তার অনুমতি নিন।
- ব্যবহারকারীর অ্যাকাউন্টটি বিদ্যমান কিনা তা যাচাই করতে তাদের প্রোফাইলের তথ্য ব্যবহার করুন।
- বিদ্যমান ব্যবহারকারীদের অ্যাকাউন্টগুলো লিঙ্ক করুন।
- আপনার প্রমাণীকরণ সিস্টেমে গুগল ব্যবহারকারীর কোনো মিল খুঁজে না পেলে, গুগল থেকে প্রাপ্ত আইডি টোকেনটি যাচাই করুন। এরপর আপনি আইডি টোকেনে থাকা প্রোফাইল তথ্যের ভিত্তিতে একজন ব্যবহারকারী তৈরি করতে পারবেন।
চিত্র ১। স্ট্রিমলাইনড লিঙ্কিং-এর মাধ্যমে ব্যবহারকারীর ফোনে অ্যাকাউন্ট লিঙ্ক করা।
সুসংহত সংযোগের জন্য প্রয়োজনীয়তা
- মৌলিক ওয়েব OAuth লিঙ্কিং ফ্লো বাস্তবায়ন করুন। আপনার পরিষেবাতে অবশ্যই OAuth 2.0-সম্মত অথরাইজেশন এবং টোকেন এক্সচেঞ্জ এন্ডপয়েন্ট থাকতে হবে।
- আপনার টোকেন এক্সচেঞ্জ এন্ডপয়েন্টকে অবশ্যই JSON Web Token (JWT) অ্যাসারশন সমর্থন করতে হবে এবং
check,create, ওgetইন্টেন্টগুলো ইমপ্লিমেন্ট করতে হবে।
আপনার OAuth সার্ভার বাস্তবায়ন করুন
আপনার টোকেন এক্সচেঞ্জ এন্ডপয়েন্টে অবশ্যই check , create , get ইন্টেন্টগুলো সাপোর্ট করতে হবে। অ্যাকাউন্ট লিঙ্কিং প্রক্রিয়াটি সম্পন্ন করতে এবং কখন বিভিন্ন ইন্টেন্ট ব্যবহৃত হয় তা জানতে এই ধাপগুলো অনুসরণ করুন:
- আপনার প্রমাণীকরণ সিস্টেমে ব্যবহারকারীর কি কোনো অ্যাকাউন্ট আছে? (ব্যবহারকারী হ্যাঁ বা না নির্বাচন করে সিদ্ধান্ত নেবেন)
- হ্যাঁ : ব্যবহারকারী কি আপনার প্ল্যাটফর্মে সাইন ইন করার জন্য তাদের গুগল অ্যাকাউন্টের সাথে যুক্ত ইমেলটি ব্যবহার করেন? (ব্যবহারকারী হ্যাঁ বা না নির্বাচন করে সিদ্ধান্ত নেবেন)
- হ্যাঁ : আপনার প্রমাণীকরণ সিস্টেমে ব্যবহারকারীর কি একটি মিলে যাওয়া অ্যাকাউন্ট আছে? (নিশ্চিত করার জন্য
check intentকল করা হয়)- হ্যাঁ: যদি গেট ইন্টেন্ট সফলভাবে রিটার্ন করে, তাহলে
get intentকল করা হয় এবং অ্যাকাউন্টটি লিঙ্ক হয়ে যায়। - না : নতুন অ্যাকাউন্ট তৈরি করবেন? (ব্যবহারকারী হ্যাঁ বা না নির্বাচন করে সিদ্ধান্ত নেবেন)
- হ্যাঁ: যদি ক্রিয়েট ইন্টেন্ট সফলভাবে রিটার্ন করে, তাহলে
create intentকল করা হয় এবং অ্যাকাউন্টটি লিঙ্ক করা হয়। - না : ওয়েব OAuth ফ্লোটি চালু হয়, ব্যবহারকারীকে তার ব্রাউজারে নিয়ে যাওয়া হয় এবং তাকে অন্য একটি ইমেলের সাথে লিঙ্ক করার বিকল্প দেওয়া হয়।
- হ্যাঁ: যদি ক্রিয়েট ইন্টেন্ট সফলভাবে রিটার্ন করে, তাহলে
- হ্যাঁ: যদি গেট ইন্টেন্ট সফলভাবে রিটার্ন করে, তাহলে
- না : ওয়েব OAuth ফ্লোটি চালু হয়, ব্যবহারকারীকে তার ব্রাউজারে নিয়ে যাওয়া হয় এবং তাকে অন্য একটি ইমেলের সাথে লিঙ্ক করার বিকল্প দেওয়া হয়।
- হ্যাঁ : আপনার প্রমাণীকরণ সিস্টেমে ব্যবহারকারীর কি একটি মিলে যাওয়া অ্যাকাউন্ট আছে? (নিশ্চিত করার জন্য
- না : আপনার প্রমাণীকরণ সিস্টেমে ব্যবহারকারীর কি একটি মিলে যাওয়া অ্যাকাউন্ট আছে? (নিশ্চিত করার জন্য
check intentকল করা হয়)- হ্যাঁ: যদি গেট ইন্টেন্ট সফলভাবে রিটার্ন করে, তাহলে
get intentকল করা হয় এবং অ্যাকাউন্টটি লিঙ্ক হয়ে যায়। - না : যদি create intent সফলভাবে রিটার্ন করে, তাহলে
create intentকল করা হয় এবং অ্যাকাউন্টটি লিঙ্ক করা হয়।
- হ্যাঁ: যদি গেট ইন্টেন্ট সফলভাবে রিটার্ন করে, তাহলে
- হ্যাঁ : ব্যবহারকারী কি আপনার প্ল্যাটফর্মে সাইন ইন করার জন্য তাদের গুগল অ্যাকাউন্টের সাথে যুক্ত ইমেলটি ব্যবহার করেন? (ব্যবহারকারী হ্যাঁ বা না নির্বাচন করে সিদ্ধান্ত নেবেন)
检查现有用户账号(检查 intent)
在用户同意访问其 Google 个人资料后,Google 会发送 请求,其中包含 Google 用户身份的已签名断言。通过 断言包含的信息包括用户的 Google 账号 ID、 姓名和电子邮件地址为您的 Google Cloud 控制台配置的令牌交换端点 项目处理该请求。
如果您的身份验证中已有相应的 Google 账号
系统时,您的令牌交换端点会返回 account_found=true。如果
Google 账号与现有用户不匹配,您的令牌交换端点
返回“HTTP 404 Not Found”错误以及 account_found=false。
请求的格式如下:
POST /token HTTP/1.1 Host: oauth2.example.com Content-Type: application/x-www-form-urlencoded grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&intent=check&assertion=JWT&scope=SCOPES&client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET
您的令牌交换端点必须能够处理以下参数:
| 令牌端点参数 | |
|---|---|
intent |
对于这些请求,此参数的值为
check。 |
grant_type |
所交换的令牌的类型。对于这类请求
参数的值为 urn:ietf:params:oauth:grant-type:jwt-bearer。 |
assertion |
一个 JSON Web 令牌 (JWT),提供 Google 用户身份。JWT 包含的信息包括用户 Google 账号 ID、姓名和电子邮件地址。 |
client_id |
您分配给 Google 的客户 ID。 |
client_secret |
您分配给 Google 的客户端密钥。 |
如需响应 check intent 请求,您的令牌交换端点必须执行以下步骤:
- 验证和解码 JWT 断言。
- 检查您的身份验证系统中是否已存在该 Google 账号。
JWT দাবী যাচাই এবং ডিকোড করুন
আপনি আপনার ভাষার জন্য একটি JWT-ডিকোডিং লাইব্রেরি ব্যবহার করে JWT দাবিকে যাচাই এবং ডিকোড করতে পারেন। টোকেনের স্বাক্ষর যাচাই করতে JWK বা PEM ফর্ম্যাটে উপলব্ধ Google-এর পাবলিক কীগুলি ব্যবহার করুন৷
ডিকোড করা হলে, JWT দাবী নিম্নলিখিত উদাহরণের মত দেখায়:
{ "sub": "1234567890", // The unique ID of the user's Google Account "iss": "https://accounts.google.com", // The assertion's issuer "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID "iat": 233366400, // Unix timestamp of the assertion's creation time "exp": 233370000, // Unix timestamp of the assertion's expiration time "name": "Jan Jansen", "given_name": "Jan", "family_name": "Jansen", "email": "jan@gmail.com", // If present, the user's email address "email_verified": true, // true, if Google has verified the email address "hd": "example.com", // If present, the host domain of the user's GSuite email address // If present, a URL to user's profile picture "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ", "locale": "en_US" // User's locale, from browser or phone settings }
টোকেনের স্বাক্ষর যাচাই করার পাশাপাশি, নিশ্চিত করুন যে দাবীর ইস্যুকারী ( iss ক্ষেত্র) হল https://accounts.google.com , দর্শক ( aud ফিল্ড) হল আপনার নির্ধারিত ক্লায়েন্ট আইডি, এবং টোকেনের মেয়াদ শেষ হয়নি ( exp ক্ষেত্র)।
email , email_verified এবং hd ক্ষেত্রগুলি ব্যবহার করে আপনি নির্ধারণ করতে পারেন যে Google হোস্ট করে এবং একটি ইমেল ঠিকানার জন্য অনুমোদিত কিনা। যেসব ক্ষেত্রে Google অনুমোদিত সেক্ষেত্রে ব্যবহারকারী বর্তমানে বৈধ অ্যাকাউন্টের মালিক হিসাবে পরিচিত এবং আপনি পাসওয়ার্ড বা অন্যান্য চ্যালেঞ্জ পদ্ধতিগুলি এড়িয়ে যেতে পারেন। অন্যথায়, লিঙ্ক করার আগে অ্যাকাউন্ট যাচাই করতে এই পদ্ধতিগুলি ব্যবহার করা যেতে পারে।
যেসব ক্ষেত্রে Google কর্তৃত্বপূর্ণ:
-
emailএকটি@gmail.comপ্রত্যয় রয়েছে, এটি একটি Gmail অ্যাকাউন্ট। -
email_verifiedসত্য এবংhdসেট করা আছে, এটি একটি G Suite অ্যাকাউন্ট।
ব্যবহারকারীরা Gmail বা G Suite ব্যবহার না করে Google অ্যাকাউন্টের জন্য নিবন্ধন করতে পারেন। যখন email @gmail.com প্রত্যয় থাকে না এবং hd অনুপস্থিত থাকে তখন Google অনুমোদিত নয় এবং ব্যবহারকারীকে যাচাই করার জন্য পাসওয়ার্ড বা অন্যান্য চ্যালেঞ্জ পদ্ধতি সুপারিশ করা হয়। email_verified ও সত্য হতে পারে কারণ Google প্রাথমিকভাবে ব্যবহারকারীকে যাচাই করেছিল যখন Google অ্যাকাউন্ট তৈরি হয়েছিল, তবে তৃতীয় পক্ষের ইমেল অ্যাকাউন্টের মালিকানা তখন থেকে পরিবর্তিত হতে পারে।
检查您的身份验证系统中是否已存在该 Google 账号
请检查以下任一条件是否成立:
- Google 账号 ID(可在断言的
sub字段中找到)位于您的用户中 数据库。 - 断言中的电子邮件地址与用户数据库中的用户匹配。
如果满足上述任一条件,则表明用户已注册。在这种情况下 返回如下所示的响应:
HTTP/1.1 200 Success
Content-Type: application/json;charset=UTF-8
{
"account_found":"true",
}
如果 Google 账号 ID 和
断言与您的数据库中的用户匹配,该用户尚未注册。在
在这种情况下,您的令牌交换端点需要返回 HTTP 404 错误
指定 "account_found": "false",如以下示例所示:
HTTP/1.1 404 Not found
Content-Type: application/json;charset=UTF-8
{
"account_found":"false",
}
স্বয়ংক্রিয় লিঙ্কিং পরিচালনা করুন (উদ্দেশ্য পান)
ব্যবহারকারী তাদের Google প্রোফাইল অ্যাক্সেস করার জন্য সম্মতি দেওয়ার পরে, Google একটি অনুরোধ পাঠায় যাতে Google ব্যবহারকারীর পরিচয়ের একটি স্বাক্ষরিত দাবি থাকে। দাবীতে এমন তথ্য রয়েছে যা ব্যবহারকারীর Google অ্যাকাউন্ট আইডি, নাম এবং ইমেল ঠিকানা অন্তর্ভুক্ত করে। আপনার প্রকল্পের জন্য কনফিগার করা টোকেন এক্সচেঞ্জ এন্ডপয়েন্ট সেই অনুরোধটি পরিচালনা করে।
যদি সংশ্লিষ্ট Google অ্যাকাউন্টটি ইতিমধ্যেই আপনার প্রমাণীকরণ সিস্টেমে উপস্থিত থাকে, তাহলে আপনার টোকেন এক্সচেঞ্জ এন্ডপয়েন্ট ব্যবহারকারীর জন্য একটি টোকেন প্রদান করে। যদি Google অ্যাকাউন্টটি একটি বিদ্যমান ব্যবহারকারীর সাথে মেলে না, তাহলে আপনার টোকেন এক্সচেঞ্জ এন্ডপয়েন্ট একটি linking_error ত্রুটি এবং ঐচ্ছিক login_hint প্রদান করে।
অনুরোধের নিম্নলিখিত ফর্ম আছে:
POST /token HTTP/1.1 Host: oauth2.example.com Content-Type: application/x-www-form-urlencoded grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&intent=get&assertion=JWT&scope=SCOPES&client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET
আপনার টোকেন এক্সচেঞ্জ এন্ডপয়েন্ট অবশ্যই নিম্নলিখিত প্যারামিটারগুলি পরিচালনা করতে সক্ষম হবে:
| টোকেন এন্ডপয়েন্ট প্যারামিটার | |
|---|---|
intent | এই অনুরোধগুলির জন্য, এই পরামিতির মান হল get । |
grant_type | টোকেনের ধরন বিনিময় হচ্ছে। এই অনুরোধগুলির জন্য, এই প্যারামিটারের মান আছে urn:ietf:params:oauth:grant-type:jwt-bearer |
assertion | একটি JSON ওয়েব টোকেন (JWT) যা Google ব্যবহারকারীর পরিচয়ের একটি স্বাক্ষরিত দাবী প্রদান করে। JWT-তে ব্যবহারকারীর Google অ্যাকাউন্ট আইডি, নাম এবং ইমেল ঠিকানা অন্তর্ভুক্ত তথ্য রয়েছে। |
scope | ঐচ্ছিক: ব্যবহারকারীদের কাছ থেকে অনুরোধ করার জন্য আপনি Google-কে কনফিগার করেছেন এমন যেকোনো স্কোপ। |
client_id | আপনি Google এ যে ক্লায়েন্ট আইডি অ্যাসাইন করেছেন। |
client_secret | ক্লায়েন্ট সিক্রেট আপনি Google-এ অ্যাসাইন করেছেন। |
get অনুরোধে সাড়া দেওয়ার জন্য, আপনার টোকেন এক্সচেঞ্জ এন্ডপয়েন্টকে অবশ্যই নিম্নলিখিত পদক্ষেপগুলি সম্পাদন করতে হবে:
- JWT দাবী যাচাই এবং ডিকোড করুন।
- Google অ্যাকাউন্টটি ইতিমধ্যে আপনার প্রমাণীকরণ সিস্টেমে উপস্থিত আছে কিনা তা পরীক্ষা করুন।
JWT দাবী যাচাই এবং ডিকোড করুন
আপনি আপনার ভাষার জন্য একটি JWT-ডিকোডিং লাইব্রেরি ব্যবহার করে JWT দাবিকে যাচাই এবং ডিকোড করতে পারেন। টোকেনের স্বাক্ষর যাচাই করতে JWK বা PEM ফর্ম্যাটে উপলব্ধ Google-এর পাবলিক কীগুলি ব্যবহার করুন৷
ডিকোড করা হলে, JWT দাবী নিম্নলিখিত উদাহরণের মত দেখায়:
{ "sub": "1234567890", // The unique ID of the user's Google Account "iss": "https://accounts.google.com", // The assertion's issuer "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID "iat": 233366400, // Unix timestamp of the assertion's creation time "exp": 233370000, // Unix timestamp of the assertion's expiration time "name": "Jan Jansen", "given_name": "Jan", "family_name": "Jansen", "email": "jan@gmail.com", // If present, the user's email address "email_verified": true, // true, if Google has verified the email address "hd": "example.com", // If present, the host domain of the user's GSuite email address // If present, a URL to user's profile picture "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ", "locale": "en_US" // User's locale, from browser or phone settings }
টোকেনের স্বাক্ষর যাচাই করার পাশাপাশি, নিশ্চিত করুন যে দাবীর ইস্যুকারী ( iss ক্ষেত্র) হল https://accounts.google.com , দর্শক ( aud ফিল্ড) হল আপনার নির্ধারিত ক্লায়েন্ট আইডি, এবং টোকেনের মেয়াদ শেষ হয়নি ( exp ক্ষেত্র)।
email , email_verified এবং hd ক্ষেত্রগুলি ব্যবহার করে আপনি নির্ধারণ করতে পারেন যে Google হোস্ট করে এবং একটি ইমেল ঠিকানার জন্য অনুমোদিত কিনা। যেসব ক্ষেত্রে Google অনুমোদিত সেক্ষেত্রে ব্যবহারকারী বর্তমানে বৈধ অ্যাকাউন্টের মালিক হিসাবে পরিচিত এবং আপনি পাসওয়ার্ড বা অন্যান্য চ্যালেঞ্জ পদ্ধতিগুলি এড়িয়ে যেতে পারেন। অন্যথায়, লিঙ্ক করার আগে অ্যাকাউন্ট যাচাই করতে এই পদ্ধতিগুলি ব্যবহার করা যেতে পারে।
যেসব ক্ষেত্রে Google কর্তৃত্বপূর্ণ:
-
emailএকটি@gmail.comপ্রত্যয় রয়েছে, এটি একটি Gmail অ্যাকাউন্ট। -
email_verifiedসত্য এবংhdসেট করা আছে, এটি একটি G Suite অ্যাকাউন্ট।
ব্যবহারকারীরা Gmail বা G Suite ব্যবহার না করে Google অ্যাকাউন্টের জন্য নিবন্ধন করতে পারেন। যখন email @gmail.com প্রত্যয় থাকে না এবং hd অনুপস্থিত থাকে তখন Google অনুমোদিত নয় এবং ব্যবহারকারীকে যাচাই করার জন্য পাসওয়ার্ড বা অন্যান্য চ্যালেঞ্জ পদ্ধতি সুপারিশ করা হয়। email_verified ও সত্য হতে পারে কারণ Google প্রাথমিকভাবে ব্যবহারকারীকে যাচাই করেছিল যখন Google অ্যাকাউন্ট তৈরি হয়েছিল, তবে তৃতীয় পক্ষের ইমেল অ্যাকাউন্টের মালিকানা তখন থেকে পরিবর্তিত হতে পারে।
Google অ্যাকাউন্টটি ইতিমধ্যে আপনার প্রমাণীকরণ সিস্টেমে উপস্থিত আছে কিনা তা পরীক্ষা করুন
নিম্নলিখিত শর্তগুলির মধ্যে কোনটি সত্য কিনা তা পরীক্ষা করুন:
- দাবীর
subফিল্ডে পাওয়া Google অ্যাকাউন্ট আইডি আপনার ব্যবহারকারী ডাটাবেসে রয়েছে। - দাবীর ইমেল ঠিকানা আপনার ব্যবহারকারী ডাটাবেসের একজন ব্যবহারকারীর সাথে মেলে।
যদি ব্যবহারকারীর জন্য একটি অ্যাকাউন্ট পাওয়া যায়, একটি অ্যাক্সেস টোকেন ইস্যু করুন এবং আপনার HTTPS প্রতিক্রিয়ার মূল অংশে একটি JSON অবজেক্টে মানগুলি ফেরত দিন, যেমন নিম্নলিখিত উদাহরণে:
{ "token_type": "Bearer", "access_token": "ACCESS_TOKEN", "refresh_token": "REFRESH_TOKEN", "expires_in": SECONDS_TO_EXPIRATION }
কিছু ক্ষেত্রে, আইডি টোকেনের উপর ভিত্তি করে অ্যাকাউন্ট লিঙ্ক করা ব্যবহারকারীর জন্য ব্যর্থ হতে পারে। যদি এটি কোনো কারণে হয়, তাহলে আপনার টোকেন এক্সচেঞ্জ এন্ডপয়েন্টকে একটি HTTP 401 ত্রুটির সাথে উত্তর দিতে হবে যা error=linking_error নির্দিষ্ট করে, যেমনটি নিম্নলিখিত উদাহরণটি দেখায়:
HTTP/1.1 401 Unauthorized
Content-Type: application/json;charset=UTF-8
{
"error":"linking_error",
"login_hint":"foo@bar.com"
}
Google যখন linking_error সহ একটি 401 ত্রুটির প্রতিক্রিয়া পায়, তখন Google একটি প্যারামিটার হিসাবে login_hint সহ ব্যবহারকারীকে আপনার অনুমোদনের শেষ পয়েন্টে পাঠায়। ব্যবহারকারী তাদের ব্রাউজারে OAuth লিঙ্কিং ফ্লো ব্যবহার করে অ্যাকাউন্ট লিঙ্ক করা সম্পূর্ণ করে।
গুগল দিয়ে সাইন ইন ব্যবহার করে অ্যাকাউন্ট তৈরি পরিচালনা করুন (ইন্টেন্ট তৈরি করুন)
যখন কোনো ব্যবহারকারী আপনার পরিষেবাতে একটি অ্যাকাউন্ট তৈরি করতে চান, তখন Google আপনার টোকেন এক্সচেঞ্জ এন্ডপয়েন্টে intent=create উল্লেখ করে একটি অনুরোধ পাঠায়।
অনুরোধটির ধরন নিম্নরূপ:
POST /token HTTP/1.1 Host: oauth2.example.com Content-Type: application/x-www-form-urlencoded response_type=token&grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&scope=SCOPES&intent=create&assertion=JWT&client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET
আপনার টোকেন বিনিময় এন্ডপয়েন্টকে অবশ্যই নিম্নলিখিত প্যারামিটারগুলো পরিচালনা করতে সক্ষম হতে হবে:
| টোকেন এন্ডপয়েন্ট প্যারামিটার | |
|---|---|
intent | এই অনুরোধগুলির জন্য, এই প্যারামিটারের মান হলো create '। |
grant_type | যে ধরনের টোকেন বিনিময় করা হচ্ছে। এই অনুরোধগুলির জন্য, এই প্যারামিটারটির মান হলো urn:ietf:params:oauth:grant-type:jwt-bearer । |
assertion | একটি JSON ওয়েব টোকেন (JWT) যা গুগল ব্যবহারকারীর পরিচয়ের একটি স্বাক্ষরিত নিশ্চয়তা প্রদান করে। এই JWT-তে ব্যবহারকারীর গুগল অ্যাকাউন্ট আইডি, নাম এবং ইমেল ঠিকানার মতো তথ্য থাকে। |
client_id | আপনি গুগলকে যে ক্লায়েন্ট আইডিটি দিয়েছেন। |
client_secret | আপনি গুগলকে যে ক্লায়েন্ট সিক্রেটটি বরাদ্দ করেছেন। |
assertion প্যারামিটারের মধ্যে থাকা JWT-তে ব্যবহারকারীর গুগল অ্যাকাউন্ট আইডি, নাম এবং ইমেল ঠিকানা থাকে, যা ব্যবহার করে আপনি আপনার পরিষেবাতে একটি নতুন অ্যাকাউন্ট তৈরি করতে পারেন।
create ইন্টেন্ট অনুরোধগুলির প্রতিক্রিয়া জানাতে, আপনার টোকেন এক্সচেঞ্জ এন্ডপয়েন্টকে অবশ্যই নিম্নলিখিত ধাপগুলি সম্পাদন করতে হবে:
- JWT অ্যাসারশনটি যাচাই ও ডিকোড করুন।
- ব্যবহারকারীর তথ্য যাচাই করুন এবং নতুন অ্যাকাউন্ট তৈরি করুন।
JWT দাবী যাচাই এবং ডিকোড করুন
আপনি আপনার ভাষার জন্য একটি JWT-ডিকোডিং লাইব্রেরি ব্যবহার করে JWT দাবিকে যাচাই এবং ডিকোড করতে পারেন। টোকেনের স্বাক্ষর যাচাই করতে JWK বা PEM ফর্ম্যাটে উপলব্ধ Google-এর পাবলিক কীগুলি ব্যবহার করুন৷
ডিকোড করা হলে, JWT দাবী নিম্নলিখিত উদাহরণের মত দেখায়:
{ "sub": "1234567890", // The unique ID of the user's Google Account "iss": "https://accounts.google.com", // The assertion's issuer "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID "iat": 233366400, // Unix timestamp of the assertion's creation time "exp": 233370000, // Unix timestamp of the assertion's expiration time "name": "Jan Jansen", "given_name": "Jan", "family_name": "Jansen", "email": "jan@gmail.com", // If present, the user's email address "email_verified": true, // true, if Google has verified the email address "hd": "example.com", // If present, the host domain of the user's GSuite email address // If present, a URL to user's profile picture "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ", "locale": "en_US" // User's locale, from browser or phone settings }
টোকেনের স্বাক্ষর যাচাই করার পাশাপাশি, নিশ্চিত করুন যে দাবীর ইস্যুকারী ( iss ক্ষেত্র) হল https://accounts.google.com , দর্শক ( aud ফিল্ড) হল আপনার নির্ধারিত ক্লায়েন্ট আইডি, এবং টোকেনের মেয়াদ শেষ হয়নি ( exp ক্ষেত্র)।
email , email_verified এবং hd ক্ষেত্রগুলি ব্যবহার করে আপনি নির্ধারণ করতে পারেন যে Google হোস্ট করে এবং একটি ইমেল ঠিকানার জন্য অনুমোদিত কিনা। যেসব ক্ষেত্রে Google অনুমোদিত সেক্ষেত্রে ব্যবহারকারী বর্তমানে বৈধ অ্যাকাউন্টের মালিক হিসাবে পরিচিত এবং আপনি পাসওয়ার্ড বা অন্যান্য চ্যালেঞ্জ পদ্ধতিগুলি এড়িয়ে যেতে পারেন। অন্যথায়, লিঙ্ক করার আগে অ্যাকাউন্ট যাচাই করতে এই পদ্ধতিগুলি ব্যবহার করা যেতে পারে।
যেসব ক্ষেত্রে Google কর্তৃত্বপূর্ণ:
-
emailএকটি@gmail.comপ্রত্যয় রয়েছে, এটি একটি Gmail অ্যাকাউন্ট। -
email_verifiedসত্য এবংhdসেট করা আছে, এটি একটি G Suite অ্যাকাউন্ট।
ব্যবহারকারীরা Gmail বা G Suite ব্যবহার না করে Google অ্যাকাউন্টের জন্য নিবন্ধন করতে পারেন। যখন email @gmail.com প্রত্যয় থাকে না এবং hd অনুপস্থিত থাকে তখন Google অনুমোদিত নয় এবং ব্যবহারকারীকে যাচাই করার জন্য পাসওয়ার্ড বা অন্যান্য চ্যালেঞ্জ পদ্ধতি সুপারিশ করা হয়। email_verified ও সত্য হতে পারে কারণ Google প্রাথমিকভাবে ব্যবহারকারীকে যাচাই করেছিল যখন Google অ্যাকাউন্ট তৈরি হয়েছিল, তবে তৃতীয় পক্ষের ইমেল অ্যাকাউন্টের মালিকানা তখন থেকে পরিবর্তিত হতে পারে।
ব্যবহারকারীর তথ্য যাচাই করুন এবং নতুন অ্যাকাউন্ট তৈরি করুন
নিচের শর্তগুলোর মধ্যে কোনটি সত্য তা যাচাই করুন:
- অ্যাসারশনের
subফিল্ডে থাকা গুগল অ্যাকাউন্ট আইডিটি আপনার ইউজার ডেটাবেসে রয়েছে। - অ্যাসারশনে থাকা ইমেল ঠিকানাটি আপনার ব্যবহারকারী ডেটাবেসের একজন ব্যবহারকারীর সাথে মিলে গেছে।
যদি কোনো একটি শর্ত সত্য হয়, তাহলে ব্যবহারকারীকে তার বিদ্যমান অ্যাকাউন্টটি তার গুগল অ্যাকাউন্টের সাথে লিঙ্ক করতে বলুন। এটি করার জন্য, অনুরোধটির জবাবে একটি HTTP 401 এরর পাঠান, যেখানে error=linking_error উল্লেখ থাকবে এবং login_hint হিসেবে ব্যবহারকারীর ইমেল অ্যাড্রেসটি দেওয়া থাকবে। নিচে একটি নমুনা রেসপন্স দেওয়া হলো:
HTTP/1.1 401 Unauthorized
Content-Type: application/json;charset=UTF-8
{
"error":"linking_error",
"login_hint":"foo@bar.com"
}
যখন গুগল linking_error সহ একটি 401 এরর রেসপন্স পায়, তখন গুগল ব্যবহারকারীকে login_hint প্যারামিটার হিসেবে দিয়ে আপনার অথরাইজেশন এন্ডপয়েন্টে পাঠিয়ে দেয়। ব্যবহারকারী তার ব্রাউজারে OAuth লিঙ্কিং ফ্লো ব্যবহার করে অ্যাকাউন্ট লিঙ্কিং সম্পন্ন করেন।
যদি কোনো শর্তই সত্য না হয়, তাহলে JWT-তে দেওয়া তথ্য দিয়ে একটি নতুন ব্যবহারকারী অ্যাকাউন্ট তৈরি করুন। নতুন অ্যাকাউন্টগুলোতে সাধারণত কোনো পাসওয়ার্ড সেট করা থাকে না। ব্যবহারকারীদের আপনার অ্যাপ্লিকেশনের বিভিন্ন প্ল্যাটফর্মে গুগল দিয়ে সাইন ইন করার সুযোগ দিতে, অন্যান্য প্ল্যাটফর্মে ‘সাইন ইন উইথ গুগল’ যোগ করার পরামর্শ দেওয়া হচ্ছে। বিকল্পভাবে, আপনি ব্যবহারকারীকে একটি লিঙ্ক ইমেল করতে পারেন যা আপনার পাসওয়ার্ড পুনরুদ্ধার প্রক্রিয়া শুরু করবে, যাতে ব্যবহারকারী অন্যান্য প্ল্যাটফর্মে সাইন ইন করার জন্য একটি পাসওয়ার্ড সেট করতে পারেন।
তৈরি সম্পন্ন হলে, একটি অ্যাক্সেস টোকেন ইস্যু করুন। এবং আপনার HTTPS রেসপন্সের বডিতে মানগুলো একটি JSON অবজেক্টে ফেরত দিন, যেমনটি নিচের উদাহরণে দেখানো হয়েছে:
{ "token_type": "Bearer", "access_token": "ACCESS_TOKEN", "refresh_token": "REFRESH_TOKEN", "expires_in": SECONDS_TO_EXPIRATION }
আপনার গুগল এপিআই ক্লায়েন্ট আইডি পান
অ্যাকাউন্ট লিঙ্কিং নিবন্ধন প্রক্রিয়ার সময় আপনাকে আপনার গুগল এপিআই ক্লায়েন্ট আইডি প্রদান করতে হবে।
OAuth লিঙ্কিং ধাপগুলো সম্পন্ন করার সময় আপনার তৈরি করা প্রজেক্টটি ব্যবহার করে আপনার API ক্লায়েন্ট আইডি পেতে, নিম্নলিখিত ধাপগুলো সম্পন্ন করুন:
- ক্লায়েন্ট পৃষ্ঠায় যান।
একটি গুগল এপিআই প্রজেক্ট তৈরি করুন বা নির্বাচন করুন।
আপনার প্রোজেক্টে ওয়েব অ্যাপ্লিকেশন টাইপের জন্য কোনো ক্লায়েন্ট আইডি না থাকলে, একটি তৈরি করতে 'ক্রিয়েট ক্লায়েন্ট'-এ ক্লিক করুন। 'অথরাইজড জাভাস্ক্রিপ্ট অরিজিনস' বক্সে আপনার সাইটের ডোমেইনটি অবশ্যই অন্তর্ভুক্ত করুন। যখন আপনি লোকাল টেস্ট বা ডেভেলপমেন্ট করবেন, তখন আপনাকে অবশ্যই 'অথরাইজড জাভাস্ক্রিপ্ট অরিজিনস' ফিল্ডে
http://localhostএবংhttp://localhost:<port_number>উভয়ই যোগ করতে হবে।
আপনার বাস্তবায়ন যাচাই করুন
আপনি OAuth 2.0 প্লেগ্রাউন্ড টুলটি ব্যবহার করে আপনার বাস্তবায়ন যাচাই করতে পারেন।
টুলটিতে, নিম্নলিখিত ধাপগুলো অনুসরণ করুন:
- OAuth 2.0 কনফিগারেশন উইন্ডোটি খুলতে কনফিগারেশন ক্লিক করুন।
- OAuth ফ্লো ফিল্ডে ক্লায়েন্ট-সাইড নির্বাচন করুন।
- OAuth Endpoints ফিল্ডে Custom নির্বাচন করুন।
- আপনার OAuth 2.0 এন্ডপয়েন্ট এবং Google-কে বরাদ্দ করা ক্লায়েন্ট আইডি সংশ্লিষ্ট ফিল্ডগুলিতে উল্লেখ করুন।
- ধাপ ১ অংশে, কোনো গুগল স্কোপ নির্বাচন করবেন না। এর পরিবর্তে, এই ক্ষেত্রটি খালি রাখুন অথবা আপনার সার্ভারের জন্য বৈধ একটি স্কোপ টাইপ করুন (যদি আপনি OAuth স্কোপ ব্যবহার না করেন তবে একটি ইচ্ছামতো স্ট্রিং টাইপ করুন)। আপনার কাজ শেষ হলে, 'Authorize APIs'-এ ক্লিক করুন।
- ধাপ ২ এবং ধাপ ৩ অংশে, OAuth 2.0 ফ্লোটি অনুসরণ করুন এবং যাচাই করুন যে প্রতিটি ধাপ উদ্দেশ্য অনুযায়ী কাজ করছে।
আপনি গুগল অ্যাকাউন্ট লিঙ্কিং ডেমো টুলটি ব্যবহার করে আপনার বাস্তবায়ন যাচাই করতে পারেন।
টুলটিতে, নিম্নলিখিত ধাপগুলো অনুসরণ করুন:
- ‘Sign in with Google’ বোতামটিতে ক্লিক করুন।
- যে অ্যাকাউন্টটি লিঙ্ক করতে চান, সেটি বেছে নিন।
- সার্ভিস আইডিটি প্রবেশ করান।
- ঐচ্ছিকভাবে এক বা একাধিক স্কোপ লিখুন যেগুলোর জন্য আপনি অ্যাক্সেসের অনুরোধ করবেন।
- স্টার্ট ডেমো-তে ক্লিক করুন।
- অনুরোধ করা হলে, লিঙ্কিং অনুরোধে সম্মতি ও অস্বীকৃতি জানিয়ে তা নিশ্চিত করুন।
- আপনাকে আপনার প্ল্যাটফর্মে পুনঃনির্দেশিত করা হয়েছে কিনা তা নিশ্চিত করুন।