您可以允许用户在输入功能有限的设备(例如联网电视)上使用其 Google 账号登录您的应用。
应用会向用户显示短号码和登录网址。然后,用户在 Web 浏览器中打开登录网址,输入代码,并向应用授予访问用户登录信息的权限。最后,应用会收到确认,用户会登录。
如需使用此登录流程,应用必须在符合以下条件的设备上运行:
- 设备必须能够显示 40 个字符的网址和 15 个字符的用户代码,以及面向用户的说明。
- 设备必须连接到互联网。
获取客户端 ID 和客户端密钥
您的应用需要有 OAuth 2.0 客户端 ID 和客户端密钥,才能向 Google 的登录端点发出请求。
如需查找项目的客户端 ID 和客户端密钥,请执行以下操作:
- 选择现有的 OAuth 2.0 凭据或打开“凭据”页面。
- 如果您尚未创建项目的 OAuth 2.0 凭据,请执行此操作,方法是点击创建凭据 > OAuth 客户端 ID,并提供创建凭据所需的信息。
- 在 OAuth 2.0 客户端 ID 部分中查找客户端 ID。 如需了解详情,请点击客户 ID。
如要创建新的客户端 ID,请选择 TVs and Limited Input devices 应用类型。
获取用户代码和验证网址
用户请求使用 Google 账号登录后,您可以通过向 OAuth 2.0 设备端点 https://oauth2.googleapis.com/device/code 发送 HTTP POST 请求来获取用户代码和验证网址。在请求中添加您的客户端 ID 和所需的范围列表。如果您只想让用户使用其 Google 账号登录,请仅请求 profile 和 email 范围;如果您想请求代表用户调用受支持的 API 的权限,请在 profile 和 email 范围之外请求所需的范围。
以下是用户代码的示例请求:
POST /device/code HTTP/1.1
Host: oauth2.googleapis.com
Content-Type: application/x-www-form-urlencoded
client_id=YOUR_GOOGLE_CLIENT_ID&scope=email%20profile
使用 curl:
curl -d "client_id=YOUR_GOOGLE_CLIENT_ID&scope=email profile" https://oauth2.googleapis.com/device/code响应以 JSON 对象的形式返回:
{
"device_code" : "4/4-GMMhmHCXhWEzkobqIHGG_EnNYYsAkukHspeYUk9E8",
"user_code" : "GQVQ-JKEC",
"verification_url" : "https://www.google.com/device",
"expires_in" : 1800,
"interval" : 5
}
您的应用会向用户显示 user_code 和 verification_url 值,同时在指定的 interval 时刻轮询登录端点,直到用户登录或 expires_in 指定的时间过去为止。
显示用户代码和验证网址
从设备端点收到用户代码和验证网址后,请显示这些内容,并指示用户打开网址并输入用户代码。
verification_url 和 user_code 的值可能会发生变化。请以可处理以下限制的方式设计界面:
user_code必须显示在足够宽的字段中,以处理 15 个W大小的字符。verification_url必须显示在足够宽的字段中,以处理长度为 40 个字符的网址字符串。
这两个字符串都可以包含 US-ASCII 字符集中的任何可打印字符。
显示 user_code 字符串时,请勿以任何方式修改该字符串(例如更改大小写或插入其他格式字符),因为如果代码格式日后发生变化,您的应用可能会崩溃。
您可以选择从网址中剥离 scheme,以便修改 verification_url 字符串以供显示。如果您这样做,请确保您的应用可以同时处理“http”和“https”变体。请勿以其他方式修改 verification_url 字符串。
当用户转到验证网址时,会看到类似以下内容的页面:
用户输入用户代码后,Google 登录网站会显示类似以下内容的意见征求界面:
如果用户点击允许,您的应用就可以获取一个用于识别用户的 ID 令牌、一个用于调用 Google API 的访问令牌,以及一个用于获取新令牌的刷新令牌。
获取 ID 令牌和刷新令牌
您的应用显示用户代码和验证网址后,请开始使用从设备端点收到的设备代码轮询令牌端点 (https://oauth2.googleapis.com/token)。按照 interval 值指定的时间间隔(以秒为单位)对令牌端点进行轮询。
以下是一个请求示例:
POST /token HTTP/1.1
Host: oauth2.googleapis.com
Content-Type: application/x-www-form-urlencoded
client_id=YOUR_GOOGLE_CLIENT_ID&client_secret=YOUR_CLIENT_SECRET&code=DEVICE_CODE&grant_type=http://oauth.net/grant_type/device/1.0
使用 curl:
curl -d "client_id=YOUR_CLIENT_ID&client_secret=YOUR_CLIENT_SECRET&code=YOUR_DEVICE_CODE&grant_type=http://oauth.net/grant_type/device/1.0" https://oauth2.googleapis.com/token如果用户尚未批准请求,则响应如下:
{
"error" : "authorization_pending"
}
应用应以不超过 interval 值的速率重复这些请求。如果您的应用轮询速度过快,响应如下所示:
{
"error" : "slow_down"
}
用户登录并向您的应用授予您请求的范围访问权限后,系统对应用的下一个请求的响应将包含 ID 令牌、访问令牌和刷新令牌:
{
"access_token": "ya29.AHES6ZSuY8f6WFLswSv0HZLP2J4cCvFSj-8GiZM0Pr6cgXU",
"token_type": "Bearer",
"expires_in": 3600,
"refresh_token": "1/551G1yXUqgkDGnkfFk6ZbjMMMDIMxo3JFc8lY8CAR-Q",
"id_token": "eyJhbGciOiJSUzI..."
}
收到此响应后,您的应用可以解码 ID 令牌以获取已登录用户的基本个人资料信息,也可以将 ID 令牌发送到应用的后端服务器,以便安全地向服务器进行身份验证。此外,您的应用还可以使用访问令牌调用用户授权的 Google API。
ID 令牌和访问令牌的生命周期有限。如需让用户在令牌有效期过后保持登录状态,请存储刷新令牌,并使用该令牌请求新的令牌。
通过 ID 令牌获取用户个人资料信息
要获取已登录用户的个人资料信息,您可以使用任何 JWT 解码库对 ID 令牌进行解码。例如,使用 Auth0 的 jwt-decode JavaScript 库:
var user_profile = jwt_decode(<var>id_token</var>);
// The "sub" field is available on all ID tokens. This value is unique for each
// Google account and can be used to identify the user. (But do not send this
// value to your server; instead, send the whole ID token so its authenticity
// can be verified.)
var user_id = user_profile["sub"];
// These values are available when you request the "profile" and "email" scopes.
var user_email = user_profile["email"];
var email_verified = user_profile["email_verified"];
var user_name = user_profile["name"];
var user_photo_url = user_profile["picture"];
var user_given_name = user_profile["given_name"];
var user_family_name = user_profile["family_name"];
var user_locale = user_profile["locale"];
更多信息
- 如需在 ID 令牌的有效期结束后让用户保持登录状态,请参阅刷新访问令牌。
- 如果您需要使用后端服务器进行身份验证,请参阅使用后端服务器进行身份验证,了解如何安全地进行身份验证。