Xác minh mã thông báo giá trị nhận dạng của Google ở phía máy chủ

Khi sử dụng Dịch vụ nhận dạng của Google hoặc quy trình mã uỷ quyền OAuth 2.0, Google sẽ trả về mã thông báo nhận dạng bằng phương thức POST cho điểm cuối chuyển hướng. Ngoài ra, quy trình ngầm định OIDC sử dụng yêu cầu GET. Do đó, ứng dụng của bạn chịu trách nhiệm truyền an toàn những thông tin đăng nhập đã nhận được này đến máy chủ của bạn.

GET

Đây là luồng ngầm, mã thông báo nhận dạng được trả về trong đoạn URL mà JavaScript phía máy khách phải phân tích cú pháp. Ứng dụng của bạn chịu trách nhiệm triển khai các cơ chế xác thực riêng để đảm bảo tính xác thực của yêu cầu và ngăn chặn các cuộc tấn công như CSRF. 

    HTTP/1.1 302 Found
    Location: https://<REDIRECT_URI>#access_token=<ACCESS_TOKEN>&token_type=bearer&expires_in=<TIME_IN_SECONDS>&scope=<SCOPE>&state=<STATE_STRING>
BÀI ĐĂNG

Mã thông báo nhận dạng được gửi lại dưới dạng trường credential. Khi chuẩn bị gửi Mã nhận dạng người dùng đến máy chủ, thư viện GIS sẽ tự động thêm g_csrf_token vào cookie tiêu đề và nội dung yêu cầu. Sau đây là ví dụ về yêu cầu POST:

POST /auth/token-verification HTTP/1.1
Host: example.com
Content-Type: application/json;charset=UTF-8
Cookie: g_csrf_token=<CSRF_TOKEN>
Origin: https://example.com
Content-Length: <LENGTH_OF_JSON_BODY>
    {
      "credential": "<ID_TOKEN>",
      "g_csrf_token": "<CSRF_TOKEN>",
      "client_id": "<CLIENT_ID>"
    }

  1. Xác thực g_csrf_token để ngăn chặn các cuộc tấn công Giả mạo yêu cầu trên nhiều trang web (CSRF):

    • Trích xuất giá trị mã thông báo CSRF từ cookie g_csrf_token.
    • Trích xuất giá trị mã thông báo CSRF từ nội dung yêu cầu. Thư viện GIS đưa mã thông báo này vào nội dung yêu cầu POST dưới dạng một tham số, cũng có tên là g_csrf_token.
    • So sánh hai giá trị mã thông báo
      • Nếu cả hai giá trị đều có và khớp hoàn toàn, thì yêu cầu được coi là hợp lệ và bắt nguồn từ miền của bạn.
      • Nếu các giá trị không có hoặc không khớp, thì máy chủ phải từ chối yêu cầu. Bước kiểm tra này đảm bảo rằng yêu cầu được bắt đầu từ JavaScript đang chạy trên miền của riêng bạn, vì chỉ miền của bạn mới có thể truy cập vào cookie g_csrf_token.

  2. Xác minh mã thông báo nhận dạng.

    Để xác minh rằng mã thông báo hợp lệ, hãy đảm bảo rằng bạn đáp ứng các tiêu chí sau:

    • Mã thông báo nhận dạng được Google ký đúng cách. Sử dụng khoá công khai của Google (có ở định dạng JWK hoặc PEM) để xác minh chữ ký của mã thông báo. Các khoá này được xoay vòng thường xuyên; hãy kiểm tra tiêu đề Cache-Control trong phản hồi để xác định thời điểm bạn nên truy xuất lại các khoá này.
    • Giá trị của aud trong mã thông báo nhận dạng bằng một trong các mã ứng dụng khách của ứng dụng. Bạn cần thực hiện bước kiểm tra này để ngăn chặn việc sử dụng mã nhận dạng (ID) được cấp cho một ứng dụng độc hại nhằm truy cập vào dữ liệu về cùng một người dùng trên máy chủ phụ trợ của ứng dụng.
    • Giá trị của iss trong mã thông báo nhận dạng bằng accounts.google.com hoặc https://accounts.google.com.
    • Thời gian hết hạn (exp) của mã thông báo nhận dạng chưa trôi qua.
    • Nếu cần xác thực rằng mã thông báo nhận dạng đại diện cho tài khoản tổ chức Google Workspace hoặc Cloud, bạn có thể kiểm tra khai báo hd. Khai báo này cho biết miền được lưu trữ của người dùng. Bạn phải sử dụng tham số này khi chỉ cho phép thành viên của một số miền nhất định truy cập vào một tài nguyên. Việc thiếu xác nhận quyền sở hữu này cho biết rằng tài khoản không thuộc về một miền do Google lưu trữ.

    Bằng cách sử dụng các trường email, email_verifiedhd, bạn có thể xác định xem Google có lưu trữ và có quyền đối với một địa chỉ email hay không. Trong trường hợp Google là nguồn đáng tin cậy, người dùng được xác định là chủ sở hữu hợp pháp của tài khoản và bạn có thể bỏ qua mật khẩu hoặc các phương thức thử thách khác.

    Các trường hợp Google là nguồn thông tin xác thực:

    • email có đuôi là @gmail.com, đây là tài khoản Gmail.
    • email_verified là true và hd được đặt, thì đây là tài khoản Google Workspace.

    Người dùng có thể đăng ký Tài khoản Google mà không cần sử dụng Gmail hoặc Google Workspace. Khi email không chứa hậu tố @gmail.com và không có hd, Google không phải là nguồn có thẩm quyền và bạn nên dùng mật khẩu hoặc các phương thức thử thách khác để xác minh người dùng. email_verified cũng có thể đúng vì ban đầu Google đã xác minh người dùng khi tài khoản Google được tạo. Tuy nhiên, quyền sở hữu tài khoản email bên thứ ba có thể đã thay đổi kể từ đó.

    Thay vì tự viết mã để thực hiện các bước xác minh này, bạn nên sử dụng một thư viện ứng dụng API của Google cho nền tảng của mình hoặc một thư viện JWT đa năng. Để phát triển và gỡ lỗi, bạn có thể gọi điểm cuối xác thực tokeninfo của chúng tôi.

    使用 Google API 客户端库

    使用某个 Google API 客户端库(例如 JavaNode.jsPHPPython) 是在生产环境中验证 Google ID 令牌的推荐方法。

    <ph type="x-smartling-placeholder">
    </ph> <ph type="x-smartling-placeholder">
    </ph>
    Java

    要在 Java 中验证 ID 令牌,请使用 GoogleIdTokenVerifier 对象。例如:

    import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;

...

GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
    // Specify the WEB_CLIENT_ID of the app that accesses the backend:
    .setAudience(Collections.singletonList(WEB_CLIENT_ID))
    // Or, if multiple clients access the backend:
    //.setAudience(Arrays.asList(WEB_CLIENT_ID_1, WEB_CLIENT_ID_2, WEB_CLIENT_ID_3))
    .build();

// (Receive idTokenString by HTTPS POST)

GoogleIdToken idToken = verifier.verify(idTokenString);
if (idToken != null) {
  Payload payload = idToken.getPayload();

  // Print user identifier. This ID is unique to each Google Account, making it suitable for
  // use as a primary key during account lookup. Email is not a good choice because it can be
  // changed by the user.
  String userId = payload.getSubject();
  System.out.println("User ID: " + userId);

  // Get profile information from payload
  String email = payload.getEmail();
  boolean emailVerified = Boolean.valueOf(payload.getEmailVerified());
  String name = (String) payload.get("name");
  String pictureUrl = (String) payload.get("picture");
  String locale = (String) payload.get("locale");
  String familyName = (String) payload.get("family_name");
  String givenName = (String) payload.get("given_name");

  // Use or store profile information
  // ...

} else {
  System.out.println("Invalid ID token.");
}

    GoogleIdTokenVerifier.verify() 方法验证 JWT 签名、aud 声明、iss 声明以及 exp 项版权主张。

    如果您需要验证 ID 令牌是否代表 Google Workspace 或 Cloud 组织账号,您可以通过检查域名来验证 hd 所有权声明 由 Payload.getHostedDomain() 方法返回。该 email 声明不足以保证账号是由网域管理 或组织。

    。 <ph type="x-smartling-placeholder">
    </ph>
    Node.js

    要在 Node.js 中验证 ID 令牌,请使用适用于 Node.js 的 Google Auth 库。 安装该库: 

    npm install google-auth-library --save
     然后,调用 verifyIdToken() 函数。例如:

    const {OAuth2Client} = require('google-auth-library');
const client = new OAuth2Client();
async function verify() {
  const ticket = await client.verifyIdToken({
      idToken: token,
      audience: WEB_CLIENT_ID,  // Specify the WEB_CLIENT_ID of the app that accesses the backend
      // Or, if multiple clients access the backend:
      //[WEB_CLIENT_ID_1, WEB_CLIENT_ID_2, WEB_CLIENT_ID_3]
  });
  const payload = ticket.getPayload();
  // This ID is unique to each Google Account, making it suitable for use as a primary key
  // during account lookup. Email is not a good choice because it can be changed by the user.
  const userid = payload['sub'];
  // If the request specified a Google Workspace domain:
  // const domain = payload['hd'];
}
verify().catch(console.error);

    verifyIdToken 函数用于验证 JWT 签名、aud 声明、exp 声明 以及 iss 声明。

    如果您需要验证 ID 令牌是否代表 Google Workspace 或 Cloud 组织账号时,您可以查看 hd 声明,该声明表示托管的 用户的网域。将资源访问权限限制为仅允许成员访问时,必须使用此设置 特定网域的用户缺少此声明即表示该账号不属于 Google 托管的域。

    。 <ph type="x-smartling-placeholder">
    </ph>
    PHP

    要在 PHP 中验证 ID 令牌,请使用适用于 PHP 的 Google API 客户端库。 安装该库(例如,使用 Composer): 

    composer require google/apiclient
     然后,调用 verifyIdToken() 函数。例如:

    require_once 'vendor/autoload.php';

// Get $id_token via HTTPS POST.

$client = new Google_Client(['client_id' => $WEB_CLIENT_ID]);  // Specify the WEB_CLIENT_ID of the app that accesses the backend
$payload = $client->verifyIdToken($id_token);
if ($payload) {
  // This ID is unique to each Google Account, making it suitable for use as a primary key
  // during account lookup. Email is not a good choice because it can be changed by the user.
  $userid = $payload['sub'];
  // If the request specified a Google Workspace domain
  //$domain = $payload['hd'];
} else {
  // Invalid ID token
}

    verifyIdToken 函数用于验证 JWT 签名、aud 声明、exp 声明 以及 iss 声明。

    如果您需要验证 ID 令牌是否代表 Google Workspace 或 Cloud 组织账号时,您可以查看 hd 声明,该声明表示托管的 用户的网域。将资源访问权限限制为仅允许成员访问时,必须使用此设置 特定网域的用户缺少此声明即表示该账号不属于 Google 托管的域。

    。 <ph type="x-smartling-placeholder">
    </ph>
    Python

    要在 Python 中验证 ID 令牌,请使用 verify_oauth2_token 函数。例如:

    from google.oauth2 import id_token
from google.auth.transport import requests

# (Receive token by HTTPS POST)
# ...

try:
    # Specify the WEB_CLIENT_ID of the app that accesses the backend:
    idinfo = id_token.verify_oauth2_token(token, requests.Request(), WEB_CLIENT_ID)

    # Or, if multiple clients access the backend server:
    # idinfo = id_token.verify_oauth2_token(token, requests.Request())
    # if idinfo['aud'] not in [WEB_CLIENT_ID_1, WEB_CLIENT_ID_2, WEB_CLIENT_ID_3]:
    #     raise ValueError('Could not verify audience.')

    # If the request specified a Google Workspace domain
    # if idinfo['hd'] != DOMAIN_NAME:
    #     raise ValueError('Wrong domain name.')

    # ID token is valid. Get the user's Google Account ID from the decoded token.
    # This ID is unique to each Google Account, making it suitable for use as a primary key
    # during account lookup. Email is not a good choice because it can be changed by the user.
    userid = idinfo['sub']
except ValueError:
    # Invalid token
    pass

    verify_oauth2_token 函数验证 JWT 签名、aud 声明和 exp 声明。 您还必须验证 hd 检查 verify_oauth2_token 返回。如果多个客户端访问 后端服务器,另请手动验证 aud 声明。

  3. Sau khi xác nhận tính hợp lệ của mã thông báo, bạn có thể sử dụng thông tin trong mã thông báo nhận dạng của Google để tương quan trạng thái tài khoản của trang web:

    • Người dùng chưa đăng ký: Bạn có thể cho thấy giao diện người dùng (UI) đăng ký cho phép người dùng cung cấp thêm thông tin về hồ sơ (nếu cần). Thao tác này cũng cho phép người dùng tạo tài khoản mới và phiên người dùng đã đăng nhập một cách âm thầm.

    • Một tài khoản hiện có đã có trên trang web của bạn: Bạn có thể hiển thị một trang web cho phép người dùng cuối nhập mật khẩu và liên kết tài khoản cũ với thông tin đăng nhập Google của họ. Điều này xác nhận rằng người dùng có quyền truy cập vào tài khoản hiện có.

    • Người dùng liên kết cũ: Bạn có thể đăng nhập cho người dùng mà không cần họ làm gì.