使用后端服务器进行身份验证

如果您在与后端服务器通信的应用或网站上使用 Google 登录功能，则可能需要识别服务器上当前登录的用户。 为了安全起见，请在用户成功登录后，向用户发送 使用 HTTPS 向服务器传送 ID 令牌。然后在服务器上验证完整性 并使用该令牌中包含的用户信息来建立 会话或创建新账号。

将 ID 令牌发送到您的服务器

在用户成功登录后，获取用户的 ID 令牌：

GIDSignIn.sharedInstance.signIn(withPresenting: self) { signInResult, error in
    guard error == nil else { return }
    guard let signInResult = signInResult else { return }

    signInResult.user.refreshTokensIfNeeded { user, error in
        guard error == nil else { return }
        guard let user = user else { return }

        let idToken = user.idToken
        // Send ID token to backend (example below).
    }
}

[GIDSignIn.sharedInstance signInWithPresentingViewController:self
                                              completion:^(GIDSignInResult * _Nullable signInResult,
                                                           NSError * _Nullable error) {
      if (error) { return; }
      if (signInResult == nil) { return; }

      [signInResult.user refreshTokensIfNeededWithCompletion:^(GIDGoogleUser * _Nullable user,
                                                               NSError * _Nullable error) {
          if (error) { return; }
          if (user == nil) { return; }

          NSString *idToken = user.idToken;
          // Send ID token to backend (example below).
      }];
}];

然后，使用 HTTPS POST 请求将 ID 令牌发送到您的服务器：

func tokenSignInExample(idToken: String) {
    guard let authData = try? JSONEncoder().encode(["idToken": idToken]) else {
        return
    }
    let url = URL(string: "https://yourbackend.example.com/tokensignin")!
    var request = URLRequest(url: url)
    request.httpMethod = "POST"
    request.setValue("application/json", forHTTPHeaderField: "Content-Type")

    let task = URLSession.shared.uploadTask(with: request, from: authData) { data, response, error in
        // Handle response from your backend.
    }
    task.resume()
}

NSString *signinEndpoint = @"https://yourbackend.example.com/tokensignin";
NSDictionary *params = @{@"idtoken": idToken};

NSMutableURLRequest *request = [NSMutableURLRequest requestWithURL:signinEndpoint];
[request setValue:@"application/x-www-form-urlencoded" forHTTPHeaderField:@"Content-Type"];
[request setHTTPMethod:@"POST"];
[request setHTTPBody:[self httpBodyForParamsDictionary:params]];

NSOperationQueue *queue = [[NSOperationQueue alloc] init];
[NSURLConnection sendAsynchronousRequest:request
                                   queue:queue
                       completionHandler:^(NSURLResponse *response, NSData *data, NSError *error) {
                         if (error) {
                           NSLog(@"Error: %@", error.localizedDescription);
                         } else {
                           NSLog(@"Signed in as %@", data.bytes);
                         }
                       }];

验证 ID 令牌的完整性

在通过 HTTPS POST 收到 ID 令牌后，您必须验证完整性 令牌的值。

如需验证令牌是否有效，请确保满足以下条件：

• ID 令牌已由 Google 正确签名。使用 Google 的公钥（以 JWK 或 PEM 格式提供）验证令牌的签名。这些密钥会定期轮换；请检查响应中的 Cache-Control 标头，以确定何时应再次检索这些密钥。
• ID 令牌中的 aud 值等于您应用的某个客户端 ID。此检查是必要的，可防止向恶意应用发放的 ID 令牌被用于访问您应用后端服务器上有关同一用户的数据。
• ID 令牌中 iss 的值等于 accounts.google.com 或 https://accounts.google.com。
• ID 令牌的到期时间 (exp) 尚未到期。
• 如果您需要验证 ID 令牌是否代表 Google Workspace 或 Cloud 组织账号，可以检查 hd 声明，该声明表示用户的托管网域。如果需要将对资源的访问权限限制为仅限特定网域的成员，则必须使用此方法。如果缺少此声明，则表示相应账号不属于 Google 托管网域。

通过使用 email、email_verified 和 hd 字段，您可以确定 Google 是否托管某个电子邮件地址并对其具有权威性。如果 Google 是权威方，则表示用户是合法的账号所有者，您可以跳过密码或其他身份验证方法。

Google 具有权威性的情况：

• email 带有 @gmail.com 后缀，则表示这是 Gmail 账号。
• email_verified 为 true 且设置了 hd，则为 Google Workspace 账号。

用户可以注册 Google 账号，而无需使用 Gmail 或 Google Workspace。如果 email 不包含 @gmail.com 后缀且 hd 不存在，则 Google 不具有权威性，建议使用密码或其他质询方法来验证用户身份。email_verified 也可能为 true，因为 Google 最初在创建 Google 账号时验证了用户身份，但第三方电子邮件账号的所有权可能已发生变化。

我们强烈建议您使用适用于您平台的 Google API 客户端库或通用 JWT 库，而不是自行编写代码来执行这些验证步骤。对于开发和调试，您可以调用我们的 tokeninfo 验证端点。

Using a Google API Client Library

Using one of the Google API Client Libraries (e.g. Java, Node.js, PHP, Python) is the recommended way to validate Google ID tokens in a production environment.

import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;

...

GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
    // Specify the WEB_CLIENT_ID of the app that accesses the backend:
    .setAudience(Collections.singletonList(WEB_CLIENT_ID))
    // Or, if multiple clients access the backend:
    //.setAudience(Arrays.asList(WEB_CLIENT_ID_1, WEB_CLIENT_ID_2, WEB_CLIENT_ID_3))
    .build();

// (Receive idTokenString by HTTPS POST)

GoogleIdToken idToken = verifier.verify(idTokenString);
if (idToken != null) {
  Payload payload = idToken.getPayload();

  // Print user identifier. This ID is unique to each Google Account, making it suitable for
  // use as a primary key during account lookup. Email is not a good choice because it can be
  // changed by the user.
  String userId = payload.getSubject();
  System.out.println("User ID: " + userId);

  // Get profile information from payload
  String email = payload.getEmail();
  boolean emailVerified = Boolean.valueOf(payload.getEmailVerified());
  String name = (String) payload.get("name");
  String pictureUrl = (String) payload.get("picture");
  String locale = (String) payload.get("locale");
  String familyName = (String) payload.get("family_name");
  String givenName = (String) payload.get("given_name");

  // Use or store profile information
  // ...

} else {
  System.out.println("Invalid ID token.");
}

npm install google-auth-library --save

const {OAuth2Client} = require('google-auth-library');
const client = new OAuth2Client();
async function verify() {
  const ticket = await client.verifyIdToken({
      idToken: token,
      audience: WEB_CLIENT_ID,  // Specify the WEB_CLIENT_ID of the app that accesses the backend
      // Or, if multiple clients access the backend:
      //[WEB_CLIENT_ID_1, WEB_CLIENT_ID_2, WEB_CLIENT_ID_3]
  });
  const payload = ticket.getPayload();
  // This ID is unique to each Google Account, making it suitable for use as a primary key
  // during account lookup. Email is not a good choice because it can be changed by the user.
  const userid = payload['sub'];
  // If the request specified a Google Workspace domain:
  // const domain = payload['hd'];
}
verify().catch(console.error);

composer require google/apiclient

require_once 'vendor/autoload.php';

// Get $id_token via HTTPS POST.

$client = new Google_Client(['client_id' => $WEB_CLIENT_ID]);  // Specify the WEB_CLIENT_ID of the app that accesses the backend
$payload = $client->verifyIdToken($id_token);
if ($payload) {
  // This ID is unique to each Google Account, making it suitable for use as a primary key
  // during account lookup. Email is not a good choice because it can be changed by the user.
  $userid = $payload['sub'];
  // If the request specified a Google Workspace domain
  //$domain = $payload['hd'];
} else {
  // Invalid ID token
}

from google.oauth2 import id_token
from google.auth.transport import requests

# (Receive token by HTTPS POST)
# ...

try:
    # Specify the WEB_CLIENT_ID of the app that accesses the backend:
    idinfo = id_token.verify_oauth2_token(token, requests.Request(), WEB_CLIENT_ID)

    # Or, if multiple clients access the backend server:
    # idinfo = id_token.verify_oauth2_token(token, requests.Request())
    # if idinfo['aud'] not in [WEB_CLIENT_ID_1, WEB_CLIENT_ID_2, WEB_CLIENT_ID_3]:
    #     raise ValueError('Could not verify audience.')

    # If the request specified a Google Workspace domain
    # if idinfo['hd'] != DOMAIN_NAME:
    #     raise ValueError('Wrong domain name.')

    # ID token is valid. Get the user's Google Account ID from the decoded token.
    # This ID is unique to each Google Account, making it suitable for use as a primary key
    # during account lookup. Email is not a good choice because it can be changed by the user.
    userid = idinfo['sub']
except ValueError:
    # Invalid token
    pass

调用 tokeninfo 端点

为调试验证 ID 令牌签名的一种简单方法是 使用 tokeninfo 端点。调用此端点涉及 这个额外的网络请求会为您完成大部分的验证工作， 验证和载荷提取。不适合在生产环境中使用 因为请求可能会受到限制或出现间歇性错误。

如需使用 tokeninfo 端点验证 ID 令牌，请创建 HTTPS POST 或 GET 请求发送到端点，并在 id_token 参数。 例如，要验证令牌“XYZ123”，请发出以下 GET 请求：

https://oauth2.googleapis.com/tokeninfo?id_token=XYZ123

如果令牌经过正确签名，并且 iss 和 exp 具有预期值，就会收到 HTTP 200 响应，其中正文 包含 JSON 格式的 ID 令牌声明。 以下是示例响应：

{
 // These six fields are included in all Google ID Tokens.
 "iss": "https://accounts.google.com",
 "sub": "110169484474386276334",
 "azp": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
 "aud": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
 "iat": "1433978353",
 "exp": "1433981953",

 // These seven fields are only included when the user has granted the "profile" and
 // "email" OAuth scopes to the application.
 "email": "testuser@gmail.com",
 "email_verified": "true",
 "name" : "Test User",
 "picture": "https://lh4.googleusercontent.com/-kYgzyAWpZzJ/ABCDEFGHI/AAAJKLMNOP/tIXL9Ir44LE/s99-c/photo.jpg",
 "given_name": "Test",
 "family_name": "User",
 "locale": "en"
}

如果您需要验证 ID 令牌是否代表 Google Workspace 账号，可以先查看 hd 声明，指示用户的托管网域。只有在以下情况下， 从而仅允许特定网域中的成员访问资源。缺少此声明 表示该账号不属于 Google Workspace 托管网域。

创建账号或会话

验证令牌后，检查用户是否在您的用户中 数据库。如果是，请为用户建立经过身份验证的会话。如果用户 ，则使用此信息创建新的用户记录 ID 令牌载荷中，并为用户建立会话。当您在应用中检测到新创建的用户时，可以提示用户提供您需要的任何其他个人资料信息。

使用跨账号保护功能保障用户账号的安全

当您依靠 Google 来登录某个用户时，您将自动享受到 Google 为保护用户数据而构建的安全功能和基础架构。不过，在极少数情况下，如果用户的 Google 账号遭到入侵或发生其他重大安全事件，您的应用也可能会受到攻击。为了更好地保护您的账号免受任何重大安全事件的侵害，请使用跨账号保护功能接收 Google 发送的安全提醒。收到这些事件后，您可以了解用户 Google 账号安全方面的重大变化，然后对您的服务采取措施来确保账号安全。