OAuth ve Google ile Oturum Açma ile Basitleştirilmiş Bağlantı

Genel Bakış

OAuth tabanlı Google ile Oturum Açma Basitleştirilmiş bağlama, OAuth bağlamanın üzerine Google ile Oturum Açma'yı ekler. Bu, Google kullanıcıları için sorunsuz bir bağlantı oluşturma deneyimi sağlar. Ayrıca, hesap oluşturma özelliğini etkinleştirerek kullanıcının Google Hesabı'nı kullanarak hizmetinizde yeni bir hesap oluşturmasına olanak tanır.

OAuth ile hesap bağlama ve Google ile oturum açma işlemlerini gerçekleştirmek için aşağıdaki genel adımları uygulayın:

1. Öncelikle kullanıcıdan Google profiline erişim izni vermesini isteyin.
2. Kullanıcı hesabının mevcut olup olmadığını kontrol etmek için profilindeki bilgileri kullanın.
3. Mevcut kullanıcılar için hesapları bağlayın.
4. Kimlik doğrulama sisteminizde Google kullanıcısıyla eşleşen bir kullanıcı bulamıyorsanız Google'dan alınan kimlik jetonunu doğrulayın. Daha sonra, kimlik jetonunda yer alan profil bilgilerine göre bir kullanıcı oluşturabilirsiniz.

Şekil 1. Basitleştirilmiş Bağlantı ile kullanıcının telefonunda hesap bağlama

Basitleştirilmiş Bağlama: OAuth + Google ile Oturum Açma Akışı

Aşağıdaki sıra şeması, Basitleştirilmiş Bağlantı için Kullanıcı, Google ve jeton değişimi uç noktanız arasındaki etkileşimleri ayrıntılı olarak açıklar.

Roller ve sorumluluklar

Aşağıdaki tabloda, basitleştirilmiş bağlantı oluşturma akışındaki aktörlerin rolleri ve sorumlulukları tanımlanmaktadır.

İşlemi gerçekleştiren / Bileşen	GAL Rolü	Sorumluluklar
Google Uygulaması / Sunucusu	OAuth İstemcisi	Google ile oturum açma için kullanıcı izni alır, kimlik onaylarını (JWT) sunucunuza iletir ve sonuç jetonlarını güvenli bir şekilde depolar.
Jeton Değişimi Uç Noktanız	Kimlik sağlayıcı / yetkilendirme sunucusu	Kimlik onaylarını doğrular, mevcut hesapları kontrol eder, hesap bağlama amaçlarını (check, get, create) işler ve istenen amaçlara göre jetonlar verir.
Hizmet API'niz	Kaynak Sunucusu	Geçerli bir erişim jetonu sunulduğunda kullanıcı verilerine erişim sağlar.

Basitleştirilmiş bağlantı oluşturma koşulları

• Temel OAuth bağlantısı akışını uygulayın. Hizmetiniz, OAuth 2.0 uyumlu yetkilendirme ve jeton değişimi uç noktalarını desteklemelidir.
• Jeton değişimi uç noktanız JSON Web Token (JWT) onaylarını desteklemeli ve check, create ve get intent'lerini uygulamalıdır.

• Google API'si istemci kimliğinizi kaydedin.

Basitleştirilmiş Bağlantı İçin Karar Mantığı

Aşağıdaki mantık, Basitleştirilmiş Bağlantı akışı sırasında amaçların nasıl çağrılacağını belirler:

1. Kullanıcının kimlik doğrulama sisteminizde hesabı var mı? (Kullanıcı EVET veya HAYIR'ı seçerek karar verir)
   1. EVET : Kullanıcı, platformunuzda oturum açmak için Google Hesabı ile ilişkili e-posta adresini kullanıyor mu? (Kullanıcı EVET veya HAYIR'ı seçerek karar verir)
      1. EVET : Kullanıcının kimlik doğrulama sisteminizde eşleşen bir hesabı var mı? (Onaylamak için check intent aranır)
         1. EVET : get intent çağrılır ve get intent başarılı bir şekilde döndürülürse hesap bağlanır.
         2. HAYIR : Yeni Hesap Oluştur? (Kullanıcı EVET veya HAYIR'ı seçerek karar verir)
            1. EVET : create intent çağrılır ve oluşturma niyeti başarıyla döndürülürse hesap bağlanır.
            2. HAYIR : OAuth bağlantı akışı tetiklenir, kullanıcı tarayıcısına yönlendirilir ve farklı bir e-postayla bağlantı oluşturma seçeneği sunulur.
      2. HAYIR : OAuth bağlantı akışı tetiklenir, kullanıcı tarayıcısına yönlendirilir ve farklı bir e-posta adresiyle bağlantı oluşturma seçeneği sunulur.
   2. HAYIR : Kullanıcının kimlik doğrulama sisteminizde eşleşen bir hesabı var mı? (Onaylamak için check intent aranır)
      1. EVET : get intent çağrılır ve get intent başarılı bir şekilde döndürülürse hesap bağlanır.
      2. HAYIR : create intent çağrılır ve oluşturma amacı başarılı bir şekilde döndürülürse hesap bağlanır.

Uygulama Tarifi

Jeton değişimi uç noktanız, Basitleştirilmiş Bağlantı'yı desteklemek için check, get ve create amaçlarını uygulamalıdır.

Farklı amaçları işlemek için aşağıdaki adımları uygulayın:

Mevcut bir kullanıcı hesabı olup olmadığını kontrol etme (kontrol amaçlı)

Google, Google kullanıcısının sisteminizde olup olmadığını doğrulamak için jeton değişimi uç noktanızı çağırır. Parametre ayrıntıları için Basitleştirilmiş Bağlantı Oluşturma Amaçları başlıklı makaleyi inceleyin.

Uygulama Tarifi

check amacını işlemek için aşağıdaki işlemleri yapın:

1. İsteği doğrulayın:

   • client_id, client_secret ve grant_type'ı doğrulayın (urn:ietf:params:oauth:grant-type:jwt-bearer olmalıdır).
   • assertion (JWT) öğesini JWT Doğrulaması'ndaki ölçütleri kullanarak doğrulayın.

2. Kullanıcıyı arama:

   • JWT'deki Google Hesabı kimliğinin (sub) veya e-posta adresinin veritabanınızdaki bir kullanıcıyla eşleşip eşleşmediğini kontrol edin.

3. Yanıtla:

   • Bulunursa: {"account_found": "true"} ile birlikte HTTP 200 OK döndürülür.
   • Bulunamazsa: {"account_found": "false"} ile HTTP 404 Not Found döndürülür.

Otomatik bağlamayı işleme (amaç alma)

Hesap varsa Google, jetonları almak için intent=get ile uç noktanızı çağırır. Parametre ayrıntıları için Basitleştirilmiş Bağlantı Oluşturma Amaçları başlıklı makaleyi inceleyin.

Uygulama Tarifi

get amacını işlemek için aşağıdaki işlemleri yapın:

1. İsteği doğrulayın:

   • client_id, client_secret ve grant_type işletmelerini doğrulayın.
   • assertion (JWT) öğesini doğrulayın.

2. Kullanıcıyı arama:

   • Kullanıcının sub veya email talebini kullanarak mevcut olduğunu doğrulayın.

3. Yanıtla:

   • Başarılı olursa: JSON yanıtında (HTTP 200 OK) access_token, refresh_token ve expires_in oluşturup döndürün.
   • Bağlama işlemi başarısız olursa: Standart OAuth bağlama işlemine geri dönmek için 401 Unauthorized ile {"error": "linking_error"} ve isteğe bağlı olarak login_hint HTTP'sini döndürün.

Google ile oturum açma özelliğini kullanarak hesap oluşturma işlemini gerçekleştirme (oluşturma amaçlı)

Hesap yoksa Google, yeni bir kullanıcı oluşturmak için uç noktanızı intent=create ile çağırır. Parametre ayrıntıları için Basitleştirilmiş Bağlantı Oluşturma Amaçları başlıklı makaleyi inceleyin.

Uygulama Tarifi

create amacını işlemek için aşağıdaki işlemleri yapın:

1. İsteği doğrulayın:

   • client_id, client_secret ve grant_type işletmelerini doğrulayın.
   • assertion (JWT) öğesini doğrulayın.

2. Kullanıcının mevcut olmadığını doğrulayın:

   • sub veya email karakterinin veritabanınızda olup olmadığını kontrol edin.
   • Kullanıcı varsa: OAuth bağlantısına geri dönüşü zorlamak için {"error": "linking_error", "login_hint": "USER_EMAIL"} ile birlikte HTTP 401 Unauthorized döndürün.

3. Hesap oluşturma:

   • Yeni bir kullanıcı kaydı oluşturmak için JWT'deki sub, email, name ve picture taleplerini kullanın.

4. Yanıtla:

   • Jetonları JSON yanıtında oluşturup döndürün (HTTP 200 OK).

Google API'si istemci kimliğinizi alma

Hesap bağlama kayıt işlemi sırasında Google API istemci kimliğinizi sağlamanız gerekir. OAuth bağlantısı oluşturma adımlarını tamamlarken oluşturduğunuz projeyi kullanarak API istemci kimliğinizi almak için. Bunun için aşağıdaki adımları uygulayın:

1. Müşteriler sayfasına gidin.

2. Bir Google API'leri projesi oluşturun veya seçin.

   Projenizde Web uygulaması türü için bir istemci kimliği yoksa istemci kimliği oluşturmak üzere İstemci oluştur'u tıklayın. Sitenizin alan adını Yetkilendirilmiş JavaScript kaynakları kutusuna eklediğinizden emin olun. Yerel testler veya geliştirme yaparken http://localhost ve http://localhost:<port_number> öğelerini Yetkilendirilmiş JavaScript kaynakları alanına eklemeniz gerekir.

Uygulamanızı doğrulama

您可以使用 OAuth 2.0 Playground 工具验证您的实现。

在该工具中，执行以下步骤：

1. 点击配置 settings 以打开“OAuth 2.0 配置”窗口。
2. 在 OAuth flow（OAuth 流程）字段中，选择 Client-side（客户端）。
3. 在 OAuth Endpoints 字段中，选择 Custom。
4. 在相应字段中指定您的 OAuth 2.0 端点以及您分配给 Google 的客户端 ID。
5. 在第 1 步部分中，请勿选择任何 Google 范围。请将此字段留空，或输入适用于您服务器的范围（如果您不使用 OAuth 范围，则输入任意字符串）。完成后，点击 Authorize APIs。
6. 在第 2 步和第 3 步部分中，完成 OAuth 2.0 流程，并验证每个步骤是否按预期运行。

您可以使用 Google 账号关联演示工具验证您的实现。

在该工具中，执行以下步骤：

1. 点击使用 Google 账号登录按钮。
2. 选择您要关联的账号。
3. 输入服务 ID。
4. （可选）输入您将请求访问的一个或多个范围。
5. 点击开始演示。
6. 当系统提示时，请确认您可以同意或拒绝关联请求。
7. 确认您已重定向到相应平台。