Google-ID-Token auf Serverseite bestätigen

Wenn Sie Google Identity Services oder den OAuth 2.0-Vorgang mit Autorisierungscode verwenden, gibt Google das ID-Token über die POST-Methode an den Weiterleitungs-Endpunkt zurück. Alternativ wird beim impliziten OIDC-Ablauf eine GET-Anfrage verwendet. Daher ist Ihre Anwendung dafür verantwortlich, diese empfangenen Anmeldedaten sicher an Ihren Server zu übertragen.

GET

Dies ist der implizite Ablauf. Das ID-Token wird im URL-Fragment zurückgegeben, das vom clientseitigen JavaScript geparst werden muss. Ihre Anwendung ist für die Implementierung eigener Validierungsmechanismen verantwortlich, um die Authentizität der Anfrage sicherzustellen und Angriffe wie CSRF zu verhindern. 

    HTTP/1.1 302 Found
    Location: https://<REDIRECT_URI>#access_token=<ACCESS_TOKEN>&token_type=bearer&expires_in=<TIME_IN_SECONDS>&scope=<SCOPE>&state=<STATE_STRING>
POST

Das ID-Token wird als Feld credential zurückgesendet. Wenn die GIS-Bibliothek das ID-Token an den Server sendet, fügt sie automatisch g_csrf_token dem Header-Cookie und dem Anfragetext hinzu. Hier sehen Sie ein Beispiel für eine POST-Anfrage:

POST /auth/token-verification HTTP/1.1
Host: example.com
Content-Type: application/json;charset=UTF-8
Cookie: g_csrf_token=<CSRF_TOKEN>
Origin: https://example.com
Content-Length: <LENGTH_OF_JSON_BODY>
    {
      "credential": "<ID_TOKEN>",
      "g_csrf_token": "<CSRF_TOKEN>",
      "client_id": "<CLIENT_ID>"
    }

  1. Validieren des g_csrf_token, um websiteübergreifende Anfragefälschungen (Cross-Site Request Forgery, CSRF) zu verhindern:

    • Extrahieren Sie den CSRF-Tokenwert aus dem Cookie g_csrf_token.
    • Extrahieren Sie den CSRF-Tokenwert aus dem Anfragetext. Die GIS-Bibliothek fügt dieses Token als Parameter mit dem Namen g_csrf_token in den POST-Anfragetext ein.
    • Vergleichen Sie die beiden Tokenwerte.
      • Wenn beide Werte vorhanden sind und vollständig übereinstimmen, gilt die Anfrage als legitim und stammt von Ihrer Domain.
      • Wenn die Werte nicht vorhanden sind oder nicht übereinstimmen, muss die Anfrage vom Server abgelehnt werden. Mit dieser Prüfung wird sichergestellt, dass die Anfrage von JavaScript initiiert wurde, das auf Ihrer eigenen Domain ausgeführt wird, da nur Ihre Domain auf das g_csrf_token-Cookie zugreifen kann.

  2. ID-Token prüfen

    So prüfen Sie, ob das Token gültig ist:

    • Das ID-Token ist von Google ordnungsgemäß signiert. Verwenden Sie die öffentlichen Schlüssel von Google (im JWK- oder PEM-Format), um die Signatur des Tokens zu prüfen. Diese Schlüssel werden regelmäßig rotiert. Sehen Sie sich den Cache-Control-Header in der Antwort an, um zu ermitteln, wann Sie sie wieder abrufen sollten.
    • Der Wert von aud im ID-Token entspricht einer der Client-IDs Ihrer App. Diese Prüfung ist erforderlich, um zu verhindern, dass ID-Tokens, die für eine schädliche App ausgestellt wurden, für den Zugriff auf Daten desselben Nutzers auf dem Backend-Server Ihrer App verwendet werden.
    • Der Wert von iss im ID-Token entspricht accounts.google.com oder https://accounts.google.com.
    • Die Ablaufzeit (exp) des ID-Tokens ist noch nicht erreicht.
    • Wenn Sie bestätigen müssen, dass das ID-Token ein Google Workspace- oder Cloud Identity-Organisationskonto darstellt, können Sie den Anspruch hd prüfen, der die gehostete Domain des Nutzers angibt. Dies muss verwendet werden, wenn der Zugriff auf eine Ressource auf Mitglieder bestimmter Domains beschränkt wird. Wenn diese Behauptung fehlt, gehört das Konto nicht zu einer von Google gehosteten Domain.

    Mithilfe der Felder email, email_verified und hd können Sie ermitteln, ob Google eine E-Mail-Adresse hostet und autoritativ für sie ist. In den Fällen, in denen Google maßgeblich ist, ist der Nutzer als rechtmäßiger Kontoinhaber bekannt und Sie können das Passwort oder andere Bestätigungsmethoden überspringen.

    Fälle, in denen Google maßgebend ist:

    • Wenn die E‑Mail-Adresse von email mit @gmail.com endet, handelt es sich um ein Gmail-Konto.
    • Wenn email_verified wahr ist und hd festgelegt ist, handelt es sich um ein Google Workspace-Konto.

    Nutzer können sich für Google-Konten registrieren, ohne Gmail oder Google Workspace zu verwenden. Wenn email kein Suffix @gmail.com enthält und hd fehlt, ist Google nicht autoritativ und es wird empfohlen, das Passwort oder andere Challenge-Methoden zu verwenden, um den Nutzer zu bestätigen. email_verified kann auch zutreffen, da Google den Nutzer bei der Erstellung des Google-Kontos ursprünglich bestätigt hat. Die Inhaberschaft des E-Mail-Kontos des Drittanbieters kann sich jedoch inzwischen geändert haben.

    Anstatt eigenen Code für diese Überprüfungsschritte zu schreiben, empfehlen wir dringend, eine Google API-Clientbibliothek für Ihre Plattform oder eine universelle JWT-Bibliothek zu verwenden. Für die Entwicklung und das Debugging können Sie unseren tokeninfo-Validierungsendpunkt aufrufen.

    使用 Google API 客户端库

    使用某个 Google API 客户端库(例如 JavaNode.jsPHPPython) 是在生产环境中验证 Google ID 令牌的推荐方法。

    <ph type="x-smartling-placeholder">
    </ph> <ph type="x-smartling-placeholder">
    </ph>
    Java

    要在 Java 中验证 ID 令牌,请使用 GoogleIdTokenVerifier 对象。例如:

    import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;

...

GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
    // Specify the WEB_CLIENT_ID of the app that accesses the backend:
    .setAudience(Collections.singletonList(WEB_CLIENT_ID))
    // Or, if multiple clients access the backend:
    //.setAudience(Arrays.asList(WEB_CLIENT_ID_1, WEB_CLIENT_ID_2, WEB_CLIENT_ID_3))
    .build();

// (Receive idTokenString by HTTPS POST)

GoogleIdToken idToken = verifier.verify(idTokenString);
if (idToken != null) {
  Payload payload = idToken.getPayload();

  // Print user identifier. This ID is unique to each Google Account, making it suitable for
  // use as a primary key during account lookup. Email is not a good choice because it can be
  // changed by the user.
  String userId = payload.getSubject();
  System.out.println("User ID: " + userId);

  // Get profile information from payload
  String email = payload.getEmail();
  boolean emailVerified = Boolean.valueOf(payload.getEmailVerified());
  String name = (String) payload.get("name");
  String pictureUrl = (String) payload.get("picture");
  String locale = (String) payload.get("locale");
  String familyName = (String) payload.get("family_name");
  String givenName = (String) payload.get("given_name");

  // Use or store profile information
  // ...

} else {
  System.out.println("Invalid ID token.");
}

    GoogleIdTokenVerifier.verify() 方法验证 JWT 签名、aud 声明、iss 声明以及 exp 项版权主张。

    如果您需要验证 ID 令牌是否代表 Google Workspace 或 Cloud 组织账号,您可以通过检查域名来验证 hd 所有权声明 由 Payload.getHostedDomain() 方法返回。该 email 声明不足以保证账号是由网域管理 或组织。

    。 <ph type="x-smartling-placeholder">
    </ph>
    Node.js

    要在 Node.js 中验证 ID 令牌,请使用适用于 Node.js 的 Google Auth 库。 安装该库: 

    npm install google-auth-library --save
     然后,调用 verifyIdToken() 函数。例如:

    const {OAuth2Client} = require('google-auth-library');
const client = new OAuth2Client();
async function verify() {
  const ticket = await client.verifyIdToken({
      idToken: token,
      audience: WEB_CLIENT_ID,  // Specify the WEB_CLIENT_ID of the app that accesses the backend
      // Or, if multiple clients access the backend:
      //[WEB_CLIENT_ID_1, WEB_CLIENT_ID_2, WEB_CLIENT_ID_3]
  });
  const payload = ticket.getPayload();
  // This ID is unique to each Google Account, making it suitable for use as a primary key
  // during account lookup. Email is not a good choice because it can be changed by the user.
  const userid = payload['sub'];
  // If the request specified a Google Workspace domain:
  // const domain = payload['hd'];
}
verify().catch(console.error);

    verifyIdToken 函数用于验证 JWT 签名、aud 声明、exp 声明 以及 iss 声明。

    如果您需要验证 ID 令牌是否代表 Google Workspace 或 Cloud 组织账号时,您可以查看 hd 声明,该声明表示托管的 用户的网域。将资源访问权限限制为仅允许成员访问时,必须使用此设置 特定网域的用户缺少此声明即表示该账号不属于 Google 托管的域。

    。 <ph type="x-smartling-placeholder">
    </ph>
    PHP

    要在 PHP 中验证 ID 令牌,请使用适用于 PHP 的 Google API 客户端库。 安装该库(例如,使用 Composer): 

    composer require google/apiclient
     然后,调用 verifyIdToken() 函数。例如:

    require_once 'vendor/autoload.php';

// Get $id_token via HTTPS POST.

$client = new Google_Client(['client_id' => $WEB_CLIENT_ID]);  // Specify the WEB_CLIENT_ID of the app that accesses the backend
$payload = $client->verifyIdToken($id_token);
if ($payload) {
  // This ID is unique to each Google Account, making it suitable for use as a primary key
  // during account lookup. Email is not a good choice because it can be changed by the user.
  $userid = $payload['sub'];
  // If the request specified a Google Workspace domain
  //$domain = $payload['hd'];
} else {
  // Invalid ID token
}

    verifyIdToken 函数用于验证 JWT 签名、aud 声明、exp 声明 以及 iss 声明。

    如果您需要验证 ID 令牌是否代表 Google Workspace 或 Cloud 组织账号时,您可以查看 hd 声明,该声明表示托管的 用户的网域。将资源访问权限限制为仅允许成员访问时,必须使用此设置 特定网域的用户缺少此声明即表示该账号不属于 Google 托管的域。

    。 <ph type="x-smartling-placeholder">
    </ph>
    Python

    要在 Python 中验证 ID 令牌,请使用 verify_oauth2_token 函数。例如:

    from google.oauth2 import id_token
from google.auth.transport import requests

# (Receive token by HTTPS POST)
# ...

try:
    # Specify the WEB_CLIENT_ID of the app that accesses the backend:
    idinfo = id_token.verify_oauth2_token(token, requests.Request(), WEB_CLIENT_ID)

    # Or, if multiple clients access the backend server:
    # idinfo = id_token.verify_oauth2_token(token, requests.Request())
    # if idinfo['aud'] not in [WEB_CLIENT_ID_1, WEB_CLIENT_ID_2, WEB_CLIENT_ID_3]:
    #     raise ValueError('Could not verify audience.')

    # If the request specified a Google Workspace domain
    # if idinfo['hd'] != DOMAIN_NAME:
    #     raise ValueError('Wrong domain name.')

    # ID token is valid. Get the user's Google Account ID from the decoded token.
    # This ID is unique to each Google Account, making it suitable for use as a primary key
    # during account lookup. Email is not a good choice because it can be changed by the user.
    userid = idinfo['sub']
except ValueError:
    # Invalid token
    pass

    verify_oauth2_token 函数验证 JWT 签名、aud 声明和 exp 声明。 您还必须验证 hd 检查 verify_oauth2_token 返回。如果多个客户端访问 后端服务器,另请手动验证 aud 声明。

  3. Sobald die Gültigkeit des Tokens bestätigt wurde, können Sie die Informationen im Google-ID-Token verwenden, um den Kontostatus Ihrer Website zu korrelieren:

    • Nicht registrierter Nutzer:Sie können eine Registrierungs-Benutzeroberfläche einblenden, über die der Nutzer bei Bedarf zusätzliche Profilinformationen angeben kann. Außerdem kann der Nutzer das neue Konto und eine angemeldete Nutzersitzung im Hintergrund erstellen.

    • Ein bestehendes Konto auf Ihrer Website:Sie können eine Webseite anzeigen, auf der der Endnutzer sein Passwort eingeben und das alte Konto mit seinen Google-Anmeldedaten verknüpfen kann. Damit wird bestätigt, dass der Nutzer Zugriff auf das vorhandene Konto hat.

    • Wiederkehrender Föderationsnutzer:Sie können den Nutzer im Hintergrund anmelden.