הכניסה באמצעות חשבון Google עוזרת לנהל במהירות את אימות המשתמשים באתר. המשתמשים נכנסים לחשבון Google, מביעים הסכמה ומשתפים באופן מאובטח את פרטי הפרופיל שלהם עם הפלטפורמה שלכם.
בהרשמה ובכניסה של משתמשים יש תמיכה בלחצנים שניתנים להתאמה אישית ובמספר שלבים.
ההרשמה היא השלבים לקבלת הסכמה מבעלי חשבון Google לשיתוף פרטי הפרופיל שלהם עם הפלטפורמה. בדרך כלל יוצרים באתר חשבון חדש באמצעות הנתונים המשותפים האלה, אבל זו לא דרישה.
כניסה מתייחסת לכניסת משתמשים לאתר באמצעות חשבון Google הפעיל שלהם, באמצעות לחצן כניסה מותאם אישית או הקשה אחת וכניסה אוטומטית, למשתמשים שכבר מחוברים לחשבון Google.
במקרים לדוגמה תוכלו לקרוא על כמה סיפורי הצלחה של שילובי כניסה באמצעות חשבון Google.
אפשר גם להשתמש ב-Google Identity Services authorization API, שמאפשר לקבל אסימון גישה לשימוש בממשקי ה-API של Google או כדי לגשת לנתוני משתמשים.
הדגמה לכניסה באמצעות חשבון Google
לוחצים על הלחצן כדי להיכנס לחשבון Google.
פרטיות המשתמשים
הנתונים מכניסה באמצעות חשבון Google לא משמשים להצגת מודעות או למטרות אחרות שלא קשורות לאבטחה.
תרחישים לדוגמה
חלק מהסיבות להוספת כניסה באמצעות חשבון Google לאתר:
- הוסיפו לחצן מהימן ומאובטח ל'כניסה באמצעות חשבון Google' לדף ליצירת חשבון או לדף הגדרות.
- לאכלס חשבונות חדשים בנתונים ששותפו בהסכמה מפרופיל של חשבון Google.
- משתמשים יכולים להיכנס פעם אחת לחשבון Google בלי להזין מחדש את שמות המשתמשים או הסיסמאות באתרים אחרים.
- בביקורים חוזרים, המשתמשים יכולים להיכנס לאתר כולו באופן אוטומטי או בלחיצה אחת.
- משתמשים בחשבונות Google מאומתים כדי להגן על תגובות, הצבעה או טפסים מהתנהלות פוגעת, תוך שמירה על אנונימיות.
התכונות הנתמכות
אלה התכונות שנתמכות בכניסה באמצעות חשבון Google:
- נרשמים, ואפשר גם ליצור חשבון חדש עם מילוי אוטומטי מפרופיל של חשבון Google.
- נכנסים באמצעות Account Chooser כדי לבחור מתוך כמה חשבונות.
- אם כבר נכנסתם לחשבון Google שלכם, אתם יכולים להיכנס בהקשה אחת.
- כניסה אוטומטית, בביקורים חוזרים באמצעות המחשב, הטלפון או אפילו כמה כרטיסיות בדפדפן.
- כדי להשבית את הכניסה האוטומטית בכל המכשירים, צריך לצאת מהחשבון.
שימו לב איך מצבי החשבון עשויים להשפיע על הכניסה באמצעות חשבון Google:
- השעיית חשבון Google תגרום להפסקת הכניסה לכל האתרים באמצעות 'כניסה באמצעות חשבון Google'.
- מחיקה של חשבון Google או חשבון שותף משפיעה על אחד מהם, אבל לא על החשבון השני.
השוואה ל-OAuth ול-OpenId Connect
OAuth ו-OpenId Connect הם סטנדרטים פתוחים שמציעים מגוון רחב של אפשרויות שניתנות להגדרה, כדי לשפר את אופן הפעולה של תהליכי האימות וההרשאות. למידע נוסף, ניתן לקרוא את מסמכי התיעוד של Google בנושא OAuth.
התכונה 'כניסה באמצעות חשבון Google' כוללת ערכת SDK אחת שכוללת כמה הצעות קשורות, כולל לחצן מותאם אישית, הקשה אחת, כניסה אוטומטית והרשאה. הוא נועד להציע למפתחים חוויה קלה ומאובטחת יותר מאשר הפרוטוקולים הרגילים של OAuth ו-OpenID Connect, ולספק חוויית משתמש חלקה יותר.
- הכניסה באמצעות חשבון Google מבוססת על OAuth 2.0. ההרשאות שהמשתמשים נותנים דרך 'כניסה באמצעות חשבון Google' זהות להרשאות שהם מעניקים ל-OAuth, ולהפך.
- OAuth 2.0 הוא גם הפרוטוקול המקובל בתחום להרשאה. היא מספקת קבוצה של נקודות קצה שצדדים מסתמכים משתלבים באמצעות HTTP.
- ממשקי API של Google Identity Services (GIS) זמינים במספר שפות, כולל JavaScript ו-HTML, שכוללות גם אימות וגם הרשאות.
- GIS מפריד בין רגע האימות לבין רגע ההרשאה. ברגע האימות, ניתן לשלב במהירות רק חלק מרכיבי ממשק המשתמש באתר, כמו לחצן מותאם אישית, הקשה אחת וכניסה אוטומטית. האלמנטים האלה בממשק המשתמש מספקים חוויית משתמש עקבית באימות בכל האתרים של צד שלישי. ברגע ההרשאה, מערכת GIS מפעילה זרימות OAuth כדי להחזיר אסימונים לגישה לנתונים מטעם המשתמש.
- אימות GIS מקל על השילוב עם צדדים הסתמכים ומפחית את רוב נטל הידע בנושא אבטחה ו-OAuth על המפתחים. לא צריך לבחור מבין גישות שונות כדי לקבל אסימוני גישה או קוד הרשאה, ולא להסתכן בהשלכות של בחירת הגישה הלא נכונה. פרוטוקול OAuth 2.0 חושף פרטים רבים, כמו הפרמטרים של הבקשה והתגובה בנקודות הקצה של HTTP, אבל GIS מטפל בפרטי ההטמעה האלה. כמו כן, GIS כולל כמה הטמעות אבטחה להגנה מפני גניבת זהות משתמש - Cross-Site Request Forgery (CSRF) כברירת מחדל.
- באמצעות HTML API ו-Code Generator, אימות ה-GIS מצמצם עוד יותר את רף השילוב של צדדים מסתמכים. אין צורך במפתח של JavaScript כדי ליצור את הקוד. כך מפחיתים את רמת חוויית המשתמש ב-OAuth שנדרשת וגם את זמן ההטמעה.
- חוויית המשתמש בהרשאת GIS מבוססת במלואה על חוויית משתמש ב-OAuth. עם זאת, לספריית ה-JavaScript ל-GIS מתווספות מגבלות מסוימות על מנת לשלב בצורה קלה ובטוחה יותר של צדדים שלישיים.
- GIS מספק גם כמה תכונות מעבר לפרוטוקול OAuth. לדוגמה, הוא משלב את Password Credential Manager API ואת Federated Credential Manager API.
בעזרת Google Identity Services, מפתחים יכולים להשתמש בשירות ייעודי ומשולב שעוזר למשתמשים להיכנס לאתר ולאפליקציות של המפתח, באמצעות פרטי ההתחברות שהם בוחרים. המטרה של GIS היא לתמוך בחוויית המשתמש בכמה סוגים של פרטי כניסה ולייעל אותה, על מנת להוריד את הרמה הטכנית של השילוב בין הצד הנסמך.
Federated Credential Manager (FedCM)
כחלק ממיזם ארגז החול לפרטיות, ב-Chrome מופסק התמיכה בקובצי cookie של צד שלישי. GIS משלב את FedCM API – חלופה חדשה לשמירה על הפרטיות לקובצי cookie של צד שלישי עבור ספקי זהויות מאוחדים. בחודש אפריל 2024, התחילה ההעברה של כל האתרים ל-FedCM בדפדפן Chrome.
רגעים נפרדים של אימות והרשאה
כדי לקבל אסימון גישה לשימוש עם Google APIs או כדי לגשת לנתוני משתמשים, צריך לקרוא ל-Google Identity Services authorization API. זהו ממשק API נפרד ל-JavaScript, שמשולב בחבילה עם ממשק ה-API לאימות.
אם האתר שלכם צריך לקרוא לממשקי API לאימות וגם לממשקי API, עליכם לקרוא אליהם בנפרד ברגעים שונים. ברגע שמתבצע אימות, אפשר לשלב את האתר בהקשה אחת, בכניסה אוטומטית ובלחצן 'כניסה באמצעות חשבון Google', כדי לאפשר למשתמשים להיכנס לאתר או להירשם אליו. מאוחר יותר, כאשר צריך לגשת לנתונים מ-Google, צריך לבצע קריאה ל-Permissions API כדי לבקש הסכמה ולקבל אסימוני גישה לצורך גישה לנתונים. הפרדה זו פועלת בהתאם לשיטות המומלצות שלנו בנושא הרשאה מצטברת, שלפיה נדרשות ההרשאות לפי ההקשר.
כדי לאכוף את ההפרדה הזו, ה-API לאימות יכול להחזיר רק אסימונים מזהים ששימשו לכניסה לאתר שלכם, ואילו ה-API להרשאות יכול להחזיר רק קוד או אסימוני גישה שמשמשים רק לצורך גישה לנתונים אבל לא לצורך כניסה.
בזכות ההפרדה הזו, למשתמשים יש חוויית אימות עקבית באתרים שונים, דבר שעשוי להגביר את האמון של המשתמשים ואת השימוש בהם, ולהוביל לשיעורי המרה טובים יותר של משתמשים באתר. בנוסף, בגלל ההפרדה הזו, Google Identity Services מפחית את רמת חוויית השימוש ב-OAuth שנדרשת ואת משך הזמן להטמעה עבור מפתחי אימות.