概览

帐号关联后,Google 帐号持有人可以快速、顺畅、安全地连接到您的服务。您可以选择实现 Google 账号关联,以与 Google 应用和服务共享您平台中的用户数据。

利用安全的 OAuth 2.0 协议,您可以安全地将用户的 Google 帐号与用户在您平台上的帐号关联起来,从而向 Google 应用和设备授予对您服务的访问权限。

用户可以关联或解除关联帐号,还可以选择使用 Google 帐号关联功能在您的平台上创建新帐号。

用例

实现 Google 账号关联的一些原因如下:

  • 与 Google 应用和服务共享您平台中的用户数据。

  • 使用 Google TV 播放视频和电影内容。

  • 使用 Google Home 应用和 Google 助理“Hey Google,开灯”来管理和控制关联的 Google 智能家居设备。

  • 使用对话型 Action“Hey Google,从星巴克照常订餐”,打造用户自定义的 Google 助理体验和功能。

  • 允许用户在将用户的 Google 帐号与奖励合作伙伴帐号相关联后,通过在 YouTube 上观看符合条件的直播来赢取奖励。

  • 在注册期间,使用 Google 帐号个人资料中双方同意共享的数据预填充新帐号。

支持的功能

Google 账号关联功能支持以下功能:

  • 使用 OAuth 链接隐式流程快速轻松地共享您的数据。

  • 通过 OAuth 关联授权代码流程提高安全性。

  • 让现有用户登录或注册已经过 Google 验证的新用户到您的平台,征得他们的同意,然后利用简化的关联功能安全地共享数据。

  • 通过 App Flip 提供更顺畅的体验。在可信的 Google 应用中,只需点按一下即可安全地打开经过验证的 Android 或 iOS 应用,再点按一次即可表示同意并关联帐号。

  • 指定自定义范围以仅分享必要数据,从而加强用户隐私保护;通过明确定义用户数据的使用方式,提高用户信任度。

  • 您可以通过解除关联帐号来撤消对您的平台上托管的数据和服务的访问权限。实现可选的令牌撤消端点可让您与 Google 发起的事件保持同步,而借助跨帐号保护 (RISC),您可以将您的平台上发生的任何解除关联事件告知 Google。

账号关联流程

共有 3 个 Google 帐号关联流程,所有这些流程都基于 OAuth,并要求您管理或控制符合 OAuth 2.0 要求的授权和令牌交换端点。

在关联过程中,您需要先征得帐号持有人同意才能关联帐号并共享数据,然后再向 Google 颁发各个 Google 帐号的访问令牌。

OAuth 关联(“网络 OAuth”)

这是将用户转到您的网站以进行关联的基本 OAuth 流程。用户被重定向到您的网站以登录其帐号。登录后,用户即同意在您的服务中与 Google 分享其数据。完成上述操作后,用户的 Google 帐号便会与您的服务建立关联。

OAuth 关联支持授权代码和隐式 OAuth 流程。您的服务必须为隐式流程托管符合 OAuth 2.0 的授权端点,并且必须在使用授权代码流程时公开授权和令牌交换端点。

图 1. 使用网络 OAuth 在用户手机上进行帐号关联

基于 OAuth 的 App Flip 链接(“App Flip”)

一种 OAuth 流程,可将用户转到您的应用以进行关联。

基于 OAuth 的 App Flip 关联会引导用户在经过验证的 Android 或 iOS 移动应用与 Google 的平台之间切换,以检查提议的数据访问权限更改,并同意他们将你平台上的账号与其 Google 账号相关联。如需启用 app flip,您的服务必须使用授权代码流程支持 OAuth 关联基于 OAuth 的 Google 登录关联

AndroidiOS 均支持 App Flip。

运作方式

Google 应用会检查您的应用是否已安装在用户的设备上:

  • 如果找到应用,用户便会“翻转”到您的应用。您的应用在征求用户意见后会将帐号与 Google 关联,然后再从“翻转”回 Google surface。
  • 如果未找到应用或在 App flip 关联过程中出现错误,用户会被重定向到简化版或网络版 OAuth 流程。

图 2. 使用 App Flip 在用户手机上进行账号关联

基于 OAuth 的简化链接(“简化”)

基于 OAuth 的 Google 登录简化型关联可在 OAuth 关联的基础上添加 Google 登录功能,使用户无需离开 Google 界面即可完成关联流程,从而减少阻力和流失情况。基于 OAuth 的简化关联将 Google 登录与 OAuth 关联相结合,通过无缝登录、帐号创建和帐号关联提供最佳用户体验。您的服务必须支持符合 OAuth 2.0 规范的授权和令牌交换端点。此外,您的令牌交换端点必须支持 JSON 网络令牌 (JWT) 断言,并实现 checkcreateget intent。

运作方式

Google 会声明该用户账号,并将此信息传递给您:

  • 如果数据库中已有该用户的帐号,则表示该用户已成功将其 Google 帐号与其在您的服务中的帐号相关联。
  • 如果您的数据库中没有该用户的帐号,该用户就可以使用声明的 Google 提供的信息(电子邮件地址、姓名和个人资料照片)创建一个新的第三方帐号,或者选择登录并与其他电子邮件地址关联(这需要用户通过网络 OAuth 登录您的服务)。

图 3. 通过精简关联功能在用户手机上进行帐号关联

您应该使用哪种流程?

我们建议您实现所有流程,以确保用户获得最佳关联体验。精简流程和应用翻转流程可以减少关联障碍,因为用户只需几步就能完成关联流程。使用 Web OAuth 关联耗时最少,您可以开始添加其他关联流程。

使用令牌

Google 帐号关联功能基于 OAuth 2.0 行业标准。

在获得帐号持有人同意关联其帐号并共享数据后,您可以为各个 Google 帐号向 Google 颁发访问令牌。

代币类型

OAuth 2.0使用称为令牌的字符串在用户代理,客户端应用程序和OAuth 2.0服务器之间进行通信。

帐户链接期间可以使用三种OAuth 2.0令牌:

  • 授权码。可以交换访问权限的短期令牌和刷新令牌。为了安全起见,Google会调用您的授权端点来获取一次性使用或寿命很短的代码。

  • 访问令牌。授予承载者对资源的访问权的令牌。为了限制可能因丢失此令牌而导致的风险敞口,它的使用寿命有限,通常会在一个小时左右后过期。

  • 刷新令牌。访问令牌到期时可以交换新的访问令牌的长期令牌。当您的服务与Google集成时,此令牌将由Google专门存储和使用。 Google调用您的令牌交换端点,以将刷新令牌交换为访问令牌,这些访问令牌又用于访问用户数据。

代币处理

在使用令牌时,群集环境和客户端-服务器交换中的竞争条件可能导致复杂的时序和错误处理方案。例如:

  • 您收到一个新的访问令牌的请求,并发出一个新的访问令牌。同时,您会收到使用前一个未过期的访问令牌访问服务资源的请求。
  • 您的刷新令牌回复尚未被Google收到(或从未收到)。同时,先前有效的刷新令牌用于Google的请求中。

由于在群集中运行的异步服务,网络行为或其他方式,请求和答复可以以任何顺序到达,或者根本无法到达。

无法保证您和Google的令牌处理系统之间以及之间的即时且完全一致的共享状态。多个有效的未过期令牌可以在短时间内在系统内或系统之间共存。为了最大程度地减少对用户的负面影响,建议您执行以下操作:

  • 即使发布了更新的令牌,也要接受未过期的访问令牌。
  • 使用替代方法来刷新令牌轮换
  • 支持多个并发有效的访问和刷新令牌。为了安全起见,应限制令牌的数量和令牌的生存期。
维护和停运处理

在维护或计划外中断期间,Google可能无法调用您的授权或令牌交换端点来获取访问权限并刷新令牌。

您的端点应以503错误代码和空主体作为响应。在这种情况下,Google将在有限的时间内重试失败的令牌交换请求。如果Google以后能够获取刷新和访问令牌,则失败的请求对用户不可见。

如果用户发起访问请求失败的请求,则会导致可见错误。如果使用隐式OAuth 2.0流程,则要求用户重试链接失败。

推荐建议

有许多解决方案可以最大程度地减少维护影响。要考虑的一些选项:

  • 维护您现有的服务,并将有限数量的请求路由到您的新更新的服务。仅在确认预期功能后才能迁移所有请求。

  • 在维护期间减少令牌请求的数量:

    • 将维护周期限制为少于访问令牌生存期。

    • 临时增加访问令牌的生存期:

      1. 将令牌寿命增加到大于维护期限。
      2. 等待两次访问令牌生存期,从而使用户可以将短期令牌替换为较长令牌。
      3. 输入维护。
      4. 使用503错误代码和空主体来响应令牌请求。
      5. 退出维护。
      6. 将令牌生存期降低到正常水平。

向 Google 注册

我们需要您提供 OAuth 2.0 设置的详细信息,并分享凭据以启用帐号关联。如需了解详情,请参阅注册