Después de que Google devuelve un token de ID, se envía a tu extremo de acceso mediante una solicitud de método HTTP POST
, con el nombre del parámetro credential
.
El siguiente es un ejemplo en el lenguaje Python que muestra los pasos habituales para validar y consumir el token de ID:
Verifica el token de falsificación de solicitudes entre sitios (CSRF). Cuando envías credenciales a tu extremo de acceso, usamos el patrón de cookie de doble envío para evitar ataques del CSRF. Antes de cada envío, generamos un token. Luego, el token se coloca en la cookie y en el cuerpo de la publicación, como se muestra en el siguiente ejemplo de código:
csrf_token_cookie = self.request.cookies.get('g_csrf_token') if not csrf_token_cookie: webapp2.abort(400, 'No CSRF token in Cookie.') csrf_token_body = self.request.get('g_csrf_token') if not csrf_token_body: webapp2.abort(400, 'No CSRF token in post body.') if csrf_token_cookie != csrf_token_body: webapp2.abort(400, 'Failed to verify double submit cookie.')
Verifica el token de ID.
Para verificar que el token sea válido, asegúrate de que se cumplan los siguientes requisitos: se cumplen los siguientes criterios:
- Google debe firmar correctamente el token de ID. Usa las claves públicas de Google
(disponible en
JWK o
PEM)
para verificar la firma del token. Estas claves se rotan con regularidad; examinar
el encabezado
Cache-Control
en la respuesta para determinar cuándo deberías recuperarlos de nuevo. - El valor de
aud
en el token de ID es igual a uno de los IDs de cliente. Esta comprobación es necesaria para prevenir tokens de ID emitidos a un app que se usa para acceder a los datos del mismo usuario en el servidor de backend de tu app. - El valor de
iss
en el token de ID es igual aaccounts.google.com
ohttps://accounts.google.com
. - No pasó la hora de vencimiento (
exp
) del token de ID. - Si necesitas validar que el token de ID represente un espacio de nombres de Google Workspace o Cloud
de tu organización, puedes verificar la reclamación de
hd
, que indica el estado dominio del usuario. Se debe usar cuando se restringe el acceso a un recurso a solo los miembros del determinados dominios. La ausencia de este reclamo indica que la cuenta no pertenece a un Dominio alojado en Google.
Usa los campos
email
,email_verified
yhd
para determinar si Google aloja una dirección de correo electrónico y tiene la autoridad para hacerlo. En los casos en que Google tenga autoridad, se sabe que el usuario es el propietario legítimo de la cuenta, por lo que puedes omitir la contraseña u otra de verificación de identidad.Casos en los que Google es confiable:
email
tiene el sufijo@gmail.com
; esta es una cuenta de Gmail.email_verified
es verdadero yhd
está configurado. Esta es una cuenta de G Suite.
Los usuarios pueden registrarse en Cuentas de Google sin usar Gmail ni G Suite. Cuándo
email
no contiene un sufijo@gmail.com
yhd
está ausente; Google no lo hace se recomienda verificar con métodos de verificación, tanto confiables como con contraseñas del usuario.email_verified
también puede ser verdadero, ya que Google verificó inicialmente el usuario cuando se creó la cuenta de Google, sin embargo, la propiedad del tercero de correo electrónico puede haber cambiado desde entonces.En lugar de escribir tu propio código para realizar estos pasos de verificación, te recomendamos recomendamos usar una biblioteca cliente de API de Google para tu plataforma o una biblioteca biblioteca JWT. Para desarrollo y depuración, puedes llamar a nuestro
tokeninfo
. extremo de validación.Usa una biblioteca cliente de la API de Google
Usar una de las bibliotecas cliente de las APIs de Google (p.ej., Java Node.js, PHP Python) es la forma recomendada de validar tokens de ID de Google en un entorno de producción.
Java Para validar un token de ID en Java, utiliza el GoogleIdTokenVerifier. Por ejemplo:
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken; import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload; import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier; ... GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory) // Specify the CLIENT_ID of the app that accesses the backend: .setAudience(Collections.singletonList(CLIENT_ID)) // Or, if multiple clients access the backend: //.setAudience(Arrays.asList(CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3)) .build(); // (Receive idTokenString by HTTPS POST) GoogleIdToken idToken = verifier.verify(idTokenString); if (idToken != null) { Payload payload = idToken.getPayload(); // Print user identifier String userId = payload.getSubject(); System.out.println("User ID: " + userId); // Get profile information from payload String email = payload.getEmail(); boolean emailVerified = Boolean.valueOf(payload.getEmailVerified()); String name = (String) payload.get("name"); String pictureUrl = (String) payload.get("picture"); String locale = (String) payload.get("locale"); String familyName = (String) payload.get("family_name"); String givenName = (String) payload.get("given_name"); // Use or store profile information // ... } else { System.out.println("Invalid ID token."); }
El método
GoogleIdTokenVerifier.verify()
verifica el JWT firma, la reclamación deaud
, la reclamación deiss
y elexp
reclamo.Si necesitas validar que el token de ID represente un espacio de nombres de Google Workspace o Cloud cuenta de organización, puedes verificar la reclamación de
hd
si revisas el nombre de dominio que muestra el métodoPayload.getHostedDomain()
El dominio de la La reclamaciónemail
no es suficiente para garantizar que la cuenta esté administrada por un dominio. u organización.Node.js Para validar un token de ID en Node.js, usa la biblioteca de Google Auth para Node.js. Instala la biblioteca:
npm install google-auth-library --save
Luego, llama a la funciónverifyIdToken()
. Por ejemplo:const {OAuth2Client} = require('google-auth-library'); const client = new OAuth2Client(); async function verify() { const ticket = await client.verifyIdToken({ idToken: token, audience: CLIENT_ID, // Specify the CLIENT_ID of the app that accesses the backend // Or, if multiple clients access the backend: //[CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3] }); const payload = ticket.getPayload(); const userid = payload['sub']; // If the request specified a Google Workspace domain: // const domain = payload['hd']; } verify().catch(console.error);
La función
verifyIdToken
verifica la firma de JWT, la reclamaciónaud
, la reclamaciónexp
y la reclamación deiss
.Si necesitas validar que el token de ID represente un espacio de nombres de Google Workspace o Cloud de tu organización, puedes verificar la reclamación de
hd
, que indica el estado dominio del usuario. Se debe usar cuando se restringe el acceso a un recurso solo a los miembros de ciertos dominios. La ausencia de este reclamo indica que la cuenta no pertenece a un dominio alojado en Google.PHP Para validar un token de ID en PHP, usa la biblioteca cliente de la API de Google para PHP. Instala la biblioteca (por ejemplo, con Composer):
composer require google/apiclient
Luego, llama a la funciónverifyIdToken()
. Por ejemplo:require_once 'vendor/autoload.php'; // Get $id_token via HTTPS POST. $client = new Google_Client(['client_id' => $CLIENT_ID]); // Specify the CLIENT_ID of the app that accesses the backend $payload = $client->verifyIdToken($id_token); if ($payload) { $userid = $payload['sub']; // If the request specified a Google Workspace domain //$domain = $payload['hd']; } else { // Invalid ID token }
La función
verifyIdToken
verifica la firma de JWT, la reclamaciónaud
, la reclamaciónexp
y la reclamación deiss
.Si necesitas validar que el token de ID represente un espacio de nombres de Google Workspace o Cloud de tu organización, puedes verificar la reclamación de
hd
, que indica el estado dominio del usuario. Se debe usar cuando se restringe el acceso a un recurso solo a los miembros de ciertos dominios. La ausencia de este reclamo indica que la cuenta no pertenece a un dominio alojado en Google.Python Para validar un token de ID en Python, usa el verify_oauth2_token . Por ejemplo:
from google.oauth2 import id_token from google.auth.transport import requests # (Receive token by HTTPS POST) # ... try: # Specify the CLIENT_ID of the app that accesses the backend: idinfo = id_token.verify_oauth2_token(token, requests.Request(), CLIENT_ID) # Or, if multiple clients access the backend server: # idinfo = id_token.verify_oauth2_token(token, requests.Request()) # if idinfo['aud'] not in [CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]: # raise ValueError('Could not verify audience.') # If the request specified a Google Workspace domain # if idinfo['hd'] != DOMAIN_NAME: # raise ValueError('Wrong domain name.') # ID token is valid. Get the user's Google Account ID from the decoded token. userid = idinfo['sub'] except ValueError: # Invalid token pass
La función
verify_oauth2_token
verifica el JWT firma, la reclamación deaud
y la reclamación deexp
. También debes verificar elhd
. reclamación (si corresponde), examinando el objeto que Se muestraverify_oauth2_token
. Si varios clientes acceden a la de backend, verifica también de forma manual la reclamaciónaud
.- Google debe firmar correctamente el token de ID. Usa las claves públicas de Google
(disponible en
JWK o
PEM)
para verificar la firma del token. Estas claves se rotan con regularidad; examinar
el encabezado
Una vez que se confirme la validez del token, puedes usar la información del token de ID de Google para correlacionar el estado de la cuenta de tu sitio:
Un usuario no registrado: Puedes mostrar una interfaz de usuario (IU) de registro que le permita al usuario proporcionar información de perfil adicional, si es necesario. También le permite al usuario crear la cuenta nueva y una sesión de usuario que accedió de forma silenciosa.
Una cuenta existente en tu sitio: Puedes mostrar una página web que le permita al usuario final ingresar su contraseña y vincular la cuenta heredada con sus credenciales de Google. Esto confirma que el usuario tiene acceso a la cuenta existente.
Un usuario federado que regresa: Puedes permitir que el usuario acceda de forma silenciosa.