Sunucu tarafındaki Google kimliği jetonunu doğrulama

Google bir kimlik jetonu döndürdükten sonra bu jeton, credential parametre adıyla bir HTTP POST yöntemi isteğiyle giriş uç noktanıza gönderilir.

Aşağıda, kimlik jetonunu doğrulama ve kullanmayla ilgili genel adımları gösteren Python dilinde bir örnek verilmiştir:

1. Siteler Arası İstek Sahteciliği (CSRF) jetonunu doğrulayın. Giriş uç noktanıza kimlik bilgileri gönderdiğinizde CSRF saldırılarını önlemek için çift gönderme çerezi kalıbını kullanırız. Her gönderimden önce bir jeton oluştururuz. Ardından, aşağıdaki kod örneğinde gösterildiği gibi jeton hem çereze hem de gönderi gövdesine yerleştirilir:

   csrf_token_cookie = self.request.cookies.get('g_csrf_token')
   if not csrf_token_cookie:
       webapp2.abort(400, 'No CSRF token in Cookie.')
   csrf_token_body = self.request.get('g_csrf_token')
   if not csrf_token_body:
       webapp2.abort(400, 'No CSRF token in post body.')
   if csrf_token_cookie != csrf_token_body:
       webapp2.abort(400, 'Failed to verify double submit cookie.')

2. Kimlik jetonunu doğrulayın.

   Jetonun geçerli olduğunu doğrulamak için aşağıdaki koşulların sağlandığından emin olun: karşılanıyorsa:

   • Kimlik jetonu Google tarafından düzgün bir şekilde imzalandı. Google'ın genel anahtarlarını kullanın (kullanılabilir JWK veya PEM biçimini kullanın) kullanın. Bu anahtarlar düzenli olarak döndürülür; incelemek ne zaman olduğunu belirlemek için yanıttaki Cache-Control üstbilgisi bunları tekrar almanız gerekir.
   • Kimlik jetonundaki aud değeri, uygulamanızın izin vermiştir. Bu kontrol, kötü amaçlı bir sunucuya kimlik jetonlarının verilmesini önlemek için gereklidir. uygulamanızın arka uç sunucusunda aynı kullanıcıyla ilgili verilere erişmek için kullanılan bir uygulamadır.
   • Kimlik jetonundaki iss değeri şuna eşit: accounts.google.com veya https://accounts.google.com.
   • Kimlik jetonunun geçerlilik süresi (exp) geçmedi.
   • Kimlik jetonunun bir Google Workspace veya Cloud'u temsil ettiğini doğrulamanız gerekiyorsa hd hak talebini kontrol edebilirsiniz. Bu hak talebi, barındırılan etkinliklerin kullanıcının alanıyla ilişkilidir. Bu, bir kaynağa erişimi yalnızca belirli alan adlarında kullanılabilir. Bu hak talebinin olmaması, hesabın Google tarafından barındırılan alan.

   email, email_verified ve hd alanlarını kullanarak aşağıdakilerin geçerli olup olmadığını belirleyebilirsiniz: Google, e-posta adreslerini barındırır ve bu adres konusunda yetkilidir. Google'ın yetkili olduğu durumlarda kullanıcının yasal hesap sahibi olduğu biliniyorsa, şifre veya diğer iletişim bilgilerini atlayabilirsiniz. isteyebilirsiniz.

   Google'ın yetkili olduğu durumlar:

   • email adresinin @gmail.com son eki var. Bu bir Gmail hesabı.
   • email_verified doğru ve hd ayarlandı. Bu bir G Suite hesabı.

   Kullanıcılar, Gmail veya G Suite kullanmadan Google Hesaplarına kaydolabilir. Zaman email, @gmail.com son eki içermiyor ve hd mevcut değilse Google kimlik doğrulama, şifre veya diğer sorgulama yöntemlerinin önerildiğini doğrulama gösterir. email_verified, Google'ın ilk olarak kullanıcı hesabı sırasında üçüncü tarafın e-posta hesabı değişmiş olabilir.

   Bu doğrulama adımlarını uygulamak için kendi kodunuzu yazmak yerine, Platformunuz için bir Google API istemci kitaplığı veya genel amaçlı bir JWT kitaplığı. Geliştirme ve hata ayıklama için tokeninfo hattımızı arayabilirsiniz doğrulama uç noktası.

   使用 Google API 客户端库

   使用某个 Google API 客户端库（例如 Java、 Node.js、 PHP、 Python） 是在生产环境中验证 Google ID 令牌的推荐方法。

   <ph type="x-smartling-placeholder">
   </ph> <ph type="x-smartling-placeholder">

   </ph>

   Java

   要在 Java 中验证 ID 令牌，请使用 GoogleIdTokenVerifier 对象。例如：

   import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
   import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload;
   import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;
   
   ...
   
   GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
       // Specify the CLIENT_ID of the app that accesses the backend:
       .setAudience(Collections.singletonList(CLIENT_ID))
       // Or, if multiple clients access the backend:
       //.setAudience(Arrays.asList(CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3))
       .build();
   
   // (Receive idTokenString by HTTPS POST)
   
   GoogleIdToken idToken = verifier.verify(idTokenString);
   if (idToken != null) {
     Payload payload = idToken.getPayload();
   
     // Print user identifier
     String userId = payload.getSubject();
     System.out.println("User ID: " + userId);
   
     // Get profile information from payload
     String email = payload.getEmail();
     boolean emailVerified = Boolean.valueOf(payload.getEmailVerified());
     String name = (String) payload.get("name");
     String pictureUrl = (String) payload.get("picture");
     String locale = (String) payload.get("locale");
     String familyName = (String) payload.get("family_name");
     String givenName = (String) payload.get("given_name");
   
     // Use or store profile information
     // ...
   
   } else {
     System.out.println("Invalid ID token.");
   }

   GoogleIdTokenVerifier.verify() 方法验证 JWT 签名、aud 声明、iss 声明以及 exp 项版权主张。

   如果您需要验证 ID 令牌是否代表 Google Workspace 或 Cloud 组织账号，您可以通过检查域名来验证 hd 所有权声明 由 Payload.getHostedDomain() 方法返回。该 email 声明不足以保证账号是由网域管理 或组织。

   。 <ph type="x-smartling-placeholder">

   </ph>

   Node.js

   要在 Node.js 中验证 ID 令牌，请使用适用于 Node.js 的 Google Auth 库。 安装该库：

   npm install google-auth-library --save

   然后，调用 verifyIdToken() 函数。例如：

   const {OAuth2Client} = require('google-auth-library');
   const client = new OAuth2Client();
   async function verify() {
     const ticket = await client.verifyIdToken({
         idToken: token,
         audience: CLIENT_ID,  // Specify the CLIENT_ID of the app that accesses the backend
         // Or, if multiple clients access the backend:
         //[CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]
     });
     const payload = ticket.getPayload();
     const userid = payload['sub'];
     // If the request specified a Google Workspace domain:
     // const domain = payload['hd'];
   }
   verify().catch(console.error);
   

   verifyIdToken 函数用于验证 JWT 签名、aud 声明、exp 声明 以及 iss 声明。

   如果您需要验证 ID 令牌是否代表 Google Workspace 或 Cloud 组织账号时，您可以查看 hd 声明，该声明表示托管的 用户的网域。将资源访问权限限制为仅允许成员访问时，必须使用此设置 特定网域的用户缺少此声明即表示该账号不属于 Google 托管的域。

   。 <ph type="x-smartling-placeholder">

   </ph>

   PHP

   要在 PHP 中验证 ID 令牌，请使用适用于 PHP 的 Google API 客户端库。 安装该库（例如，使用 Composer）：

   composer require google/apiclient

   然后，调用 verifyIdToken() 函数。例如：

   require_once 'vendor/autoload.php';
   
   // Get $id_token via HTTPS POST.
   
   $client = new Google_Client(['client_id' => $CLIENT_ID]);  // Specify the CLIENT_ID of the app that accesses the backend
   $payload = $client->verifyIdToken($id_token);
   if ($payload) {
     $userid = $payload['sub'];
     // If the request specified a Google Workspace domain
     //$domain = $payload['hd'];
   } else {
     // Invalid ID token
   }
   

   verifyIdToken 函数用于验证 JWT 签名、aud 声明、exp 声明 以及 iss 声明。

   如果您需要验证 ID 令牌是否代表 Google Workspace 或 Cloud 组织账号时，您可以查看 hd 声明，该声明表示托管的 用户的网域。将资源访问权限限制为仅允许成员访问时，必须使用此设置 特定网域的用户缺少此声明即表示该账号不属于 Google 托管的域。

   。 <ph type="x-smartling-placeholder">

   </ph>

   Python

   要在 Python 中验证 ID 令牌，请使用 verify_oauth2_token 函数。例如：

   from google.oauth2 import id_token
   from google.auth.transport import requests
   
   # (Receive token by HTTPS POST)
   # ...
   
   try:
       # Specify the CLIENT_ID of the app that accesses the backend:
       idinfo = id_token.verify_oauth2_token(token, requests.Request(), CLIENT_ID)
   
       # Or, if multiple clients access the backend server:
       # idinfo = id_token.verify_oauth2_token(token, requests.Request())
       # if idinfo['aud'] not in [CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]:
       #     raise ValueError('Could not verify audience.')
   
       # If the request specified a Google Workspace domain
       # if idinfo['hd'] != DOMAIN_NAME:
       #     raise ValueError('Wrong domain name.')
   
       # ID token is valid. Get the user's Google Account ID from the decoded token.
       userid = idinfo['sub']
   except ValueError:
       # Invalid token
       pass
   

   verify_oauth2_token 函数验证 JWT 签名、aud 声明和 exp 声明。 您还必须验证 hd 检查 verify_oauth2_token 返回。如果多个客户端访问 后端服务器，另请手动验证 aud 声明。

3. Jetonun geçerliliği onaylandıktan sonra, sitenizin hesap durumunu ilişkilendirmek için Google kimlik jetonundaki bilgileri kullanabilirsiniz:

   • Kayıtlı olmayan kullanıcı: Gerekirse kullanıcının ek profil bilgileri sağlamasına olanak tanıyan bir kayıt kullanıcı arayüzü (UI) gösterebilirsiniz. Ayrıca kullanıcının yeni hesabı ve oturum açmış bir kullanıcı oturumunu sessizce oluşturmasına olanak tanır.

   • Sitenizde zaten bulunan bir hesap: Son kullanıcının şifresini girmesine ve eski hesabı Google kimlik bilgilerine bağlamasına olanak tanıyan bir web sayfası gösterebilirsiniz. Bu, kullanıcının mevcut hesaba erişimi olduğunu doğrular.

   • Geri dönen birleşik kullanıcı: Kullanıcıyı sessizce oturum açabilirsiniz.