Association simplifiée avec OAuth et Se connecter avec Google

Présentation

L'association simplifiée avec Se connecter avec Google basée sur OAuth ajoute Se connecter avec Google en plus de l'association OAuth. Cela permet aux utilisateurs Google de bénéficier d'une expérience d'association fluide et de créer un compte sur votre service à l'aide de leur compte Google.

Pour associer un compte avec OAuth et Se connecter avec Google, suivez ces étapes générales :

  1. Demandez d'abord à l'utilisateur d'autoriser l'accès à son profil Google.
  2. Utilisez les informations de son profil pour vérifier si le compte utilisateur existe.
  3. Pour les utilisateurs existants, associez les comptes.
  4. Si vous ne trouvez pas d'utilisateur Google correspondant dans votre système d'authentification, validez le jeton d'identité reçu de Google. Vous pouvez ensuite créer un utilisateur en fonction des informations de profil contenues dans le jeton d'identité.
Cette figure montre les étapes à suivre pour qu'un utilisateur associe son compte Google à l'aide du flux d'association simplifié. La première capture d'écran montre comment un utilisateur peut sélectionner votre application pour l'associer. La deuxième capture d'écran permet à l'utilisateur de confirmer s'il dispose ou non d'un compte existant sur votre service. La troisième capture d'écran permet à l'utilisateur de sélectionner le compte Google qu'il souhaite associer. La quatrième capture d'écran montre la confirmation de l'association du compte Google de l'utilisateur à votre application. La cinquième capture d'écran montre un compte utilisateur associé dans l'appli Google.
Association de compte sur le téléphone d'un utilisateur avec l'association simplifiée

Figure 1 : Association de compte sur le téléphone d'un utilisateur avec l'association simplifiée

Association simplifiée : flux OAuth + Se connecter avec Google

Le diagramme de séquence suivant détaille les interactions entre l'utilisateur, Google et votre point de terminaison d'échange de jetons pour l'association simplifiée.

Utilisateur Application Google / Serveur Votre jeton Point de terminaison d'échange Votre API 1. L'utilisateur lance l'association 2. Demander Se connecter avec Google 3. Se connecter avec Google 4. check intent (JWT Assertion) 5. account_found: true/false Si un compte est trouvé : 6. get intent Si aucun compte n'est trouvé : 6. create intent 7. access_token, refresh_token 8. Stocker des jetons utilisateur 9. Accéder aux ressources utilisateur
Figure 2 : Séquence d'événements dans le flux d'association simplifiée.

Rôles et responsabilités

Le tableau suivant définit les rôles et responsabilités des acteurs du flux d'association simplifiée.

Acteur / Composant Rôle dans la LAG Responsabilités
Application / Serveur Google Client OAuth Obtient le consentement utilisateur pour Se connecter avec Google, transmet les assertions d'identité (JWT) à votre serveur et stocke de manière sécurisée les jetons obtenus.
Votre point de terminaison d'échange de jetons Fournisseur d'identité / Serveur d'autorisation Valide les assertions d'identité, recherche les comptes existants, gère les intents d'association de compte (check, get, create) et émet des jetons en fonction des intents demandés.
Votre API Service Serveur de ressources Fournit l'accès aux données utilisateur lorsqu'un jeton d'accès valide est présenté.

Conditions requises pour l'association simplifiée

  • Implémentez le flux d'association OAuth de base. Votre service doit être compatible avec les points de terminaison d'autorisation et d'échange de jetons conformes à OAuth 2.0.
  • Votre point de terminaison d'échange de jetons doit être compatible avec les assertions JSON Web Token (JWT) et implémenter les intents check, create et get.

Logique de décision pour l'association simplifiée

La logique suivante détermine comment les intents sont appelés lors du parcours d'association simplifiée :

  1. L'utilisateur dispose-t-il d'un compte dans votre système d'authentification ? (L'utilisateur décide en sélectionnant OUI ou NON)
    1. OUI : l'utilisateur se connecte-t-il à votre plate-forme avec l'adresse e-mail associée à son compte Google ? (L'utilisateur décide en sélectionnant OUI ou NON)
      1. OUI : l'utilisateur dispose-t-il d'un compte correspondant dans votre système d'authentification ? (check intent est appelé pour confirmer)
        1. OUI : get intent est appelé et le compte est associé si l'intention de récupération est renvoyée avec succès.
        2. NON : Créer un compte ? (L'utilisateur décide en sélectionnant OUI ou NON)
          1. OUI : create intent est appelé et le compte est associé si l'intention de création est renvoyée avec succès.
          2. NON : le flux d'association OAuth est déclenché, l'utilisateur est redirigé vers son navigateur et il a la possibilité d'associer un autre e-mail.
      2. NON : le flux d'association OAuth est déclenché, l'utilisateur est redirigé vers son navigateur et il a la possibilité d'associer un autre e-mail.
    2. NON : l'utilisateur dispose-t-il d'un compte correspondant dans votre système d'authentification ? (check intent est appelé pour confirmer)
      1. OUI : get intent est appelé et le compte est associé si l'intention de récupération est renvoyée avec succès.
      2. NON : create intent est appelé et le compte est associé si l'intention de création est renvoyée avec succès.

Recette d'implémentation

Votre point de terminaison d'échange de jetons doit implémenter les intents check, get et create pour prendre en charge l'association simplifiée.

Pour gérer les différentes intentions, procédez comme suit :

检查现有用户账号(检查 intent)

Google 会调用您的令牌交换端点,以验证 Google 用户是否存在于您的系统中。如需了解参数详情,请参阅简化的关联 intent

实现方案

如需处理 check intent,请执行以下操作:

  1. 验证请求

    • 验证 client_idclient_secretgrant_type(必须为 urn:ietf:params:oauth:grant-type:jwt-bearer)。
    • 使用 JWT 验证 中的条件验证 assertion (JWT)。

  2. 查找用户

    • 检查 JWT 中的 Google 账号 ID (sub) 或电子邮件地址是否与数据库中的用户匹配。

  3. 回应

    • 如果找到:返回 HTTP 200 OK,并附带 {"account_found": "true"}
    • 如果未找到:返回 HTTP 404 Not Found,并附带 {"account_found": "false"}

Gérer l'association automatique (obtenir l'intention)

Si le compte existe, Google appelle votre point de terminaison avec intent=get pour récupérer les jetons. Pour en savoir plus sur les paramètres, consultez Intents de simplification de l'association.

Recette d'implémentation

Pour gérer l'intent get, procédez comme suit :

  1. Validez la demande :

    • Validez client_id, client_secret et grant_type.
    • Validez le assertion (JWT).

  2. Rechercher un utilisateur :

    • Vérifiez que l'utilisateur existe à l'aide de la revendication sub ou email.

  3. Répondre :

    • En cas de succès : générez et renvoyez access_token, refresh_token et expires_in dans une réponse JSON (HTTP 200 OK).
    • Si l'association échoue : renvoyez HTTP 401 Unauthorized avec {"error": "linking_error"} et un login_hint facultatif pour revenir à l'association OAuth standard.

使用“使用 Google 账号登录”功能处理账号创建事宜(创建 intent)

如果不存在任何账号,Google 会使用 intent=create 调用您的端点,以创建新用户。如需了解参数详情,请参阅 Streamlined Linking Intents

实现方案

如需处理 create intent,请执行以下操作:

  1. 验证请求

    • 验证 client_idclient_secretgrant_type
    • 验证 assertion (JWT)。

  2. 验证用户不存在

    • 检查您的数据库中是否已存在 subemail
    • 如果用户 存在,请返回 HTTP 401 Unauthorized,并使用 {"error": "linking_error", "login_hint": "USER_EMAIL"} 强制回退到 OAuth 关联。

  3. 创建账号

    • 使用 JWT 中的 subemailnamepicture 声明创建新的用户记录。

  4. 回应

    • 在 JSON 响应 (HTTP 200 OK) 中生成并返回令牌。

Obtenir votre ID client pour les API Google

Vous devrez fournir votre ID client de l'API Google lors de la procédure d'enregistrement de l'association de compte. Pour obtenir votre ID client API à l'aide du projet que vous avez créé lors de la procédure d'association OAuth. Pour ce faire, procédez comme suit :

  1. Accédez à la page Clients.

  2. Créez ou sélectionnez un projet Google APIs.

    Si votre projet ne possède pas d'ID client pour le type d'application Web, cliquez sur Créer un client pour en créer un. Veillez à inclure le domaine de votre site dans la zone Origines JavaScript autorisées. Lorsque vous effectuez des tests ou un développement en local, vous devez ajouter http://localhost et http://localhost:<port_number> au champ Origines JavaScript autorisées.

Valider votre intégration

Vous pouvez valider votre implémentation à l'aide de l' outil OAuth 2.0 Playground.

Dans l'outil, procédez comme suit :

  1. Cliquez sur Configuration pour ouvrir la fenêtre de configuration OAuth 2.0.
  2. Dans le champ OAuth flow (Flux OAuth), sélectionnez Client-side (Côté client).
  3. Dans le champ OAuth Endpoints (Points de terminaison OAuth), sélectionnez Custom (Personnalisé).
  4. Spécifiez votre point de terminaison OAuth 2.0 et l'ID client que vous avez attribué à Google dans les champs correspondants.
  5. Dans la section Step 1 (Étape 1), ne sélectionnez aucun champ d'application Google. Laissez plutôt ce champ vide ou saisissez un champ d'application valide pour votre serveur (ou une chaîne arbitraire si vous n'utilisez pas de champs d'application OAuth). Lorsque vous avez terminé, cliquez sur Authorize APIs (Autoriser les API).
  6. Dans les sections Step 2 (Étape 2) et Step 3 (Étape 3), parcourez le flux OAuth 2.0 et vérifiez que chaque étape fonctionne comme prévu.

Vous pouvez valider votre implémentation à l'aide de l'outil de démonstration de l'association de comptes Google .

Dans l'outil, procédez comme suit :

  1. Cliquez sur le bouton Se connecter avec Google.
  2. Sélectionnez le compte que vous souhaitez associer.
  3. Saisissez l'ID de service.
  4. Vous pouvez également saisir un ou plusieurs champs d'application pour lesquels vous demanderez l'accès.
  5. Cliquez sur Start Demo (Démarrer la démonstration).
  6. Lorsque vous y êtes invité, confirmez que vous pouvez donner votre consentement et refuser la demande d'association.
  7. Vérifiez que vous êtes redirigé vers votre plate-forme.