Aperçu

L'association de compte permet aux détenteurs de comptes Google de se connecter à vos services rapidement, facilement et en toute sécurité. Vous pouvez choisir d'implémenter l'association de compte Google pour partager les données d'un utilisateur de votre plate-forme avec les applications et services Google.

Le protocole OAuth 2.0 sécurisé vous permet d'associer en toute sécurité le compte Google d'un utilisateur à son compte sur votre plate-forme, ce qui accorde aux applications et appareils Google l'accès à vos services.

Les utilisateurs peuvent associer ou dissocier leurs comptes, et éventuellement en créer un autre sur votre plate-forme via l'association de compte Google.

Cas d'utilisation

Voici quelques raisons d'implémenter l'association de compte Google :

  • Partager les données d'un utilisateur de votre plate-forme avec les applications et services Google.

  • Lire vos contenus vidéo et vos films à l'aide de Google TV.

  • Gérer et contrôler les appareils connectés Google Smart Home à l'aide de l'application Google Home et de l'Assistant Google ("Hey Google, allume les lumières").

  • Créer des expériences et des fonctionnalités personnalisées de l'Assistant Google avec les actions conversationnelles, "Hey Google, commande mon café habituel chez Starbucks".

  • Permettre aux utilisateurs de gagner des récompenses en regardant des diffusions en direct éligibles sur YouTube après avoir associé leur compte Google à un compte partenaire de récompenses.

  • Préremplir les nouveaux comptes lors de l'inscription avec des données partagées avec consentement à partir d'un profil de compte Google.

Fonctionnalités compatibles

Les fonctionnalités suivantes sont compatibles avec l'association de compte Google :

  • Partager rapidement vos données à l'aide du flux implicite d'association OAuth.

  • Améliorer la sécurité avec le flux de code d'autorisation d'association OAuth.

  • Connecter les utilisateurs existants ou inscrire de nouveaux utilisateurs validés par Google sur votre plate-forme, obtenir leur consentement et partager des données en toute sécurité avec l'association simplifiée.

  • Simplifier l'expérience avec App Flip. Depuis une application Google de confiance, un simple geste ouvre votre application Android ou iOS validée, et un autre accorde le consentement de l'utilisateur et associe les comptes.

  • Améliorer la confidentialité des utilisateurs en définissant des niveaux d'accès personnalisés pour ne partager que les données nécessaires, et renforcer la confiance des utilisateurs en définissant clairement comment leurs données sont utilisées.

  • L'accès aux données et aux services hébergés sur votre plate-forme peut être révoqué en dissociant les comptes. L'implémentation d'un point de terminaison de révocation de jeton facultatif vous permet de rester synchronisé avec les événements initiés par Google, tandis que la protection multi-comptes (RISC) vous permet d'informer Google de tout événement de dissociation qui se produit sur votre plate-forme.

Flux d'association de compte

Il existe trois flux d'association de compte Google, qui sont tous basés sur OAuth et nécessitent que vous gériez ou contrôliez les points de terminaison d'autorisation et d'échange de jetons conformes à OAuth 2.0.

Lors du processus d'association, vous émettez des jetons d'accès à Google pour des comptes Google individuels après avoir obtenu le consentement des détenteurs de compte pour associer leurs comptes et partager des données.

Association OAuth ("OAuth Web")

Il s'agit du flux OAuth de base qui envoie les utilisateurs vers votre site Web pour l'association. L'utilisateur est redirigé vers votre site Web pour se connecter à son compte. Une fois connecté, l'utilisateur accepte de partager ses données sur votre service avec Google. À ce stade, le compte Google de l'utilisateur et votre service sont associés.

L'association OAuth est compatible avec les flux OAuth implicites et avec code d'autorisation. Votre service doit héberger un point de terminaison d'autorisation conforme à OAuth 2.0 pour le flux implicite, et doit exposer à la fois un point de terminaison d'autorisation et d'échange de jetons lorsque vous utilisez le flux de code d'autorisation.

Figure 1 : Association de compte sur le téléphone d'un utilisateur avec OAuth Web

Association App Flip basée sur OAuth ("App Flip")

Flux OAuth qui envoie les utilisateurs vers votre application pour l'association.

L'association App Flip basée sur OAuth guide les utilisateurs lorsqu'ils passent de vos applications mobiles Android ou iOS validées à la plate-forme Google pour examiner les modifications proposées en matière d'accès aux données et donner leur consentement pour associer leur compte sur votre plate-forme à leur compte Google. Pour activer App Flip, votre service doit être compatible avec l'association OAuth ou l'association basée sur la connexion avec Google à l'aide du flux de code d'autorisation.

App Flip est compatible avec Android et iOS.

Fonctionnement :

L'application Google vérifie si votre application est installée sur l'appareil de l'utilisateur :

  • Si l'application est trouvée, l'utilisateur est "basculé" vers votre application. Votre application recueille le consentement de l'utilisateur pour associer le compte à Google, puis "bascule" vers la surface Google.
  • Si l'application n'est pas trouvée ou si une erreur se produit lors du processus d'association App Flip, l'utilisateur est redirigé vers le flux OAuth simplifié ou Web.

Figure 2 : Association de compte sur le téléphone d'un utilisateur avec App Flip

Association simplifiée basée sur OAuth ("Simplifiée")

L'association simplifiée basée sur la connexion avec Google ajoute la connexion avec Google en plus de l'association OAuth, ce qui permet aux utilisateurs de terminer le processus d'association sans quitter la surface Google, réduisant ainsi les frictions et les abandons. L'association simplifiée basée sur OAuth offre la meilleure expérience utilisateur avec une connexion, une création de compte et une association de compte fluides en combinant la connexion avec Google et l'association OAuth. Votre service doit être compatible avec les points de terminaison d'autorisation et d'échange de jetons conformes à OAuth 2.0. De plus, votre point de terminaison d'échange de jetons doit être compatible avec les assertions de jeton Web JSON (JWT) et implémenter les intents check, create, et get.

Fonctionnement :

Google affirme le compte utilisateur et vous transmet ces informations :

  • Si un compte existe pour l'utilisateur dans votre base de données, l'utilisateur associe correctement son compte Google à son compte sur votre service.
  • Si aucun compte n'existe pour l'utilisateur dans votre base de données, l'utilisateur peut créer un compte tiers avec les informations fournies par Google : adresse e-mail, nom et photo de profil, ou choisir de se connecter et d'associer un autre e-mail (il devra alors se connecter à votre service à l'aide d'OAuth Web).

Figure 3 : Association de compte sur le téléphone d'un utilisateur avec l'association simplifiée

Quel flux utiliser ?

Nous vous recommandons d'implémenter tous les flux pour offrir aux utilisateurs la meilleure expérience d'association possible. Les flux simplifiés et App Flip réduisent les frictions liées à l'association, car les utilisateurs peuvent effectuer le processus d'association en quelques étapes seulement. L'association OAuth Web nécessite le moins d'efforts et constitue un bon point de départ. Vous pouvez ensuite ajouter les autres flux d'association.

Utiliser des jetons

L'association de compte Google est basée sur la norme du secteur OAuth 2.0.

Vous émettez des jetons d'accès à Google pour des comptes Google individuels après avoir obtenu le consentement des détenteurs de compte pour associer leurs comptes et partager des données.

令牌类型

OAuth 2.0 使用称为令牌的字符串在用户代理、客户端应用和 OAuth 2.0 服务器之间进行通信。

在账号关联期间,您可以使用三种类型的 OAuth 2.0 令牌:

  • 授权代码。一种短期有效的令牌,可用于交换访问令牌和刷新令牌。出于安全考虑,Google 会调用您的授权端点以获取一次性或非常短效的代码。

  • 访问令牌。授予持有者对资源的访问权限的令牌。为限制因丢失此令牌而导致的泄露风险,此令牌的有效期有限,通常会在大约一小时后过期。

  • 刷新令牌。一个长期有效的令牌,在访问令牌到期时可以交换为新的访问令牌。如果您的服务与 Google 集成,则此令牌由 Google 专门存储和使用。Google 会调用您的令牌交换端点,以便将刷新令牌换成访问令牌,后者会用于访问用户数据。

令牌处理

在使用令牌时,分片环境和客户端-服务器交换中的竞态条件可能会导致复杂的时间安排和错误处理场景。例如:

  • 您收到新的访问令牌请求,并发出新的访问令牌。同时,您会收到使用上一个未过期的访问令牌访问服务资源的请求。
  • Google 尚未收到(或从未收到)您的刷新令牌回复。与此同时,之前有效的刷新令牌会在 Google 发出的请求中使用。

由于集群中运行的异步服务、网络行为或其他原因,请求和响应可能会以任何顺序到达,也可能根本不会到达。

我们无法保证您和 Google 的令牌处理系统内部以及它们之间的共享状态是立即且完全一致的。在短时间内,多个有效、未过期的令牌可以在系统内部或不同系统之间共存。为了尽可能减少对用户的负面影响,我们建议您执行以下操作:

  • 接受未过期的访问令牌,即使已发出较新的令牌也是如此。
  • 使用刷新令牌轮替的替代方案。
  • 支持多个同时有效的访问令牌和刷新令牌。出于安全考虑,您应限制令牌数量和令牌生命周期。
维护和中断处理

在维护或意外停机期间,Google 可能无法调用您的授权或令牌交换端点来获取访问令牌和刷新令牌。

您的端点应返回 503 错误代码和空正文。在这种情况下,Google 会在有限的时间内重试失败的令牌交换请求。只要 Google 稍后能够获取刷新令牌和访问令牌,用户就不会看到失败的请求。

如果由用户发起,访问令牌请求失败会导致可见错误。如果使用隐式 OAuth 2.0 流程,用户将需要重试关联失败。

建议

您可以通过多种方法最大限度地降低维护影响。请考虑以下可选方案:

  • 维护现有服务,并将有限数量的请求路由到新更新的服务。请仅在确认预期功能后迁移所有请求。

  • 减少维护期间令牌请求的数量:

    • 将维护期限制为短于访问令牌有效期。

    • 暂时延长访问令牌生命周期:

      1. 将令牌生命周期延长到超过维护期。
      2. 等待访问令牌生命周期的两倍时间,以便用户将短时有效的令牌换成时长更长的令牌。
      3. 进入维护模式。
      4. 使用 503 错误代码和空正文响应令牌请求。
      5. 退出维护。
      6. 将令牌生命周期缩短为正常值。

S'inscrire auprès de Google

Nous aurons besoin d'informations sur votre configuration OAuth 2.0 et de partager des identifiants pour activer l'association de compte. Pour en savoir plus, consultez la section Inscription.