Wiederholte Anmeldungen verarbeiten

Dies ist die dritte Anleitung in der Reihe zu Classroom-Add-ons.

In dieser Anleitung wird beschrieben, wie Sie wiederholte Besuche in Ihrem Add-on verarbeiten, indem Sie die zuvor gewährten Anmeldedaten eines Nutzers automatisch abrufen. Anschließend leiten Sie Nutzer zu Seiten weiter, von denen aus sie sofort API-Anfragen senden können. Dies ist ein erforderliches Verhalten für Classroom-Add-ons.

Im Laufe dieser Anleitung führen Sie folgende Schritte aus:

  • Nichtflüchtigen Speicher für Ihre Nutzeranmeldedaten implementieren.
  • Den Abfrageparameter login_hint des Add-ons abrufen und auswerten. Dies ist eine eindeutige Google-ID des angemeldeten Nutzers.

Anschließend können Sie Nutzer in Ihrer Webanwendung vollständig autorisieren und Google APIs aufrufen.

Abfrageparameter für iframes

Classroom lädt beim Öffnen den URI für die Einrichtung von Anhängen Ihres Add-ons. Classroom hängt mehrere GET-Abfrageparameter an den URI an. Diese enthalten nützliche Kontextinformationen. Wenn Ihr URI für die Anhangserkennung beispielsweise https://example.com/addon ist, erstellt Classroom den iframe mit der Quell-URL https://example.com/addon?courseId=XXX&itemId=YYY&itemType=courseWork&addOnToken=ZZZ, wobei XXX, YYY und ZZZ String-IDs sind. Eine detaillierte Beschreibung dieses Szenarios finden Sie in der Anleitung zu iframes.

Für die Erkennungs-URL sind fünf mögliche Abfrageparameter verfügbar:

  • courseId: Die ID des aktuellen Classroom-Kurses.
  • itemId: Die ID des Stream-Elements, das der Nutzer bearbeitet oder erstellt.
  • itemType: Die Art des Stream-Elements, das der Nutzer erstellt oder bearbeitet, z. B. courseWork, courseWorkMaterial, oder announcement.
  • addOnToken: Ein Token, das zum Autorisieren bestimmter Classroom-Add-on-Aktionen verwendet wird.
  • login_hint: Die Google-ID des aktuellen Nutzers.

In dieser Anleitung wird login_hint behandelt. Nutzer werden je nachdem, ob dieser Abfrageparameter angegeben ist, entweder zum Autorisierungsablauf (wenn er fehlt) oder zur Seite für die Add-on-Erkennung (wenn er vorhanden ist) weitergeleitet.

Auf die Abfrageparameter zugreifen

Die Abfrageparameter werden in der URI-String an Ihre Webanwendung übergeben. Speichern Sie diese Werte in Ihrer Sitzung. Sie werden im Autorisierungsablauf verwendet und um Informationen über den Nutzer zu speichern und abzurufen. Diese Abfrageparameter werden nur übergeben, wenn das Add-on zum ersten Mal geöffnet wird.

Python

Rufen Sie die Definitionen Ihrer Flask-Routen auf (routes.py, wenn Sie unserem Beispiel folgen). Rufen Sie oben in der Landing-Route Ihres Add-ons (/classroom-addon in unserem Beispiel) den Abfrageparameter login_hint ab und speichern Sie ihn:

# If the login_hint query parameter is available, we'll store it in the session.
if flask.request.args.get("login_hint"):
    flask.session["login_hint"] = flask.request.args.get("login_hint")

Achten Sie darauf, dass login_hint (falls vorhanden) in der Sitzung gespeichert wird. Dies ist ein geeigneter Ort, um diese Werte zu speichern. Sie sind kurzlebig und Sie erhalten neue Werte, wenn das Add-on geöffnet wird.

# It's possible that we might return to this route later, in which case the
# parameters will not be passed in. Instead, use the values cached in the
# session.
login_hint = flask.session.get("login_hint")

# If there's still no login_hint query parameter, this must be their first
# time signing in, so send the user to the sign in page.
if login_hint is None:
    return start_auth_flow()

Java

Rufen Sie in Ihrer Controller-Klasse die Landing-Route des Add-ons auf (/addon-discovery in AuthController.java im Beispiel). Rufen Sie am Anfang dieser Route den Abfrageparameter login_hint ab und speichern Sie ihn.

/** Retrieve the login_hint query parameter from the request URL if present. */
String login_hint = request.getParameter("login_hint");

Achten Sie darauf, dass login_hint (falls vorhanden) in der Sitzung gespeichert wird. Dies ist ein geeigneter Ort, um diese Werte zu speichern. Sie sind kurzlebig und Sie erhalten neue Werte, wenn das Add-on geöffnet wird.

/** If login_hint wasn't sent, use the values in the session. */
if (login_hint == null) {
    login_hint = (String) session.getAttribute("login_hint");
}

/** If the there is still no login_hint, route the user to the authorization
 *  page. */
if (login_hint == null) {
    return startAuthFlow(model);
}

/** If the login_hint query parameter is provided, add it to the session. */
else if (login_hint != null) {
    session.setAttribute("login_hint", login_hint);
}

Die Abfrageparameter zum Autorisierungsablauf hinzufügen

Der Parameter login_hint sollte auch an die Authentifizierungsserver von Google übergeben werden. Das vereinfacht den Authentifizierungsprozess. Wenn Ihre Anwendung weiß, welcher Nutzer versucht, sich zu authentifizieren, verwendet der Server den Hinweis, um den Anmeldeablauf zu vereinfachen, indem er das E‑Mail-Feld im Anmeldeformular vorab ausfüllt.

Python

Rufen Sie in Ihrer Flask-Serverdatei die Autorisierungsroute auf (/authorize in unserem Beispiel). Fügen Sie dem Aufruf von flow.authorization_url das Argument login_hint hinzu.

authorization_url, state = flow.authorization_url(
    # Enable offline access so that you can refresh an access token without
    # re-prompting the user for permission. Recommended for web server apps.
    access_type="offline",
    # Enable incremental authorization. Recommended as a best practice.
    include_granted_scopes="true",
    # The user will automatically be selected if we have the login_hint.
    login_hint=flask.session.get("login_hint"),

Java

Rufen Sie in der Klasse AuthService.java die Methode authorize() auf. Fügen Sie login_hint als Parameter zur Methode hinzu und fügen Sie login_hint und das Argument zum Builder der Autorisierungs-URL hinzu.

String authUrl = flow
    .newAuthorizationUrl()
    .setState(state)
    .set("login_hint", login_hint)
    .setRedirectUri(REDIRECT_URI)
    .build();

Nichtflüchtigen Speicher für Nutzeranmeldedaten hinzufügen

Wenn Sie login_hint als Abfrageparameter erhalten, wenn das Add-on geladen wird, hat der Nutzer den Autorisierungsablauf für unsere Anwendung bereits abgeschlossen. Sie sollten die vorherigen Anmeldedaten abrufen, anstatt den Nutzer noch einmal anzumelden.

Sie haben nach Abschluss des Autorisierungsablaufs ein Aktualisierungstoken erhalten. Speichern Sie dieses Token. Es kann wiederverwendet werden, um ein Zugriffstoken zu erhalten, das kurzlebig und für die Verwendung von Google APIs erforderlich ist. Sie haben diese Anmeldedaten zuvor in der Sitzung gespeichert, müssen sie aber speichern, um wiederholte Besuche zu verarbeiten.

Das Nutzerschema definieren und die Datenbank einrichten

Richten Sie ein Datenbankschema für einen User ein.

Python

Das Nutzerschema definieren

Ein User enthält die folgenden Attribute:

  • id: Die Google-ID des Nutzers. Dieser Wert sollte mit den Werten übereinstimmen, die im Abfrageparameter login_hint angegeben sind.
  • display_name: Der Vor- und Nachname des Nutzers, z. B. „Max Mustermann“.
  • email: Die E‑Mail-Adresse des Nutzers.
  • portrait_url: Die URL des Profilbilds des Nutzers.
  • refresh_token: Das zuvor abgerufene Aktualisierungstoken.

In diesem Beispiel wird die Speicherung mit SQLite implementiert, das nativ von Python unterstützt wird. Das Modul flask_sqlalchemy erleichtert die Datenbank verwaltung.

Datenbank einrichten

Geben Sie zuerst einen Speicherort für die Datenbank an. Rufen Sie die Server Konfigurationsdatei auf (config.py in unserem Beispiel) und fügen Sie Folgendes hinzu.

import os

# Point to a database file in the project root.
DATABASE_FILE_NAME = os.path.join(
    os.path.abspath(os.path.dirname(__file__)), 'data.sqlite')

class Config(object):
    SQLALCHEMY_DATABASE_URI = f"sqlite:///{DATABASE_FILE_NAME}"
    SQLALCHEMY_TRACK_MODIFICATIONS = False

Dadurch wird Flask auf die Datei data.sqlite im selben Verzeichnis wie Ihre main.py Datei verwiesen.

Rufen Sie als Nächstes das Modulverzeichnis auf und erstellen Sie eine neue Datei models.py. Wenn Sie unserem Beispiel folgen, ist das webapp/models.py. Fügen Sie der neuen Datei Folgendes hinzu, um die Tabelle User zu definieren. Ersetzen Sie webapp durch den Namen Ihres Moduls, falls er abweicht.

from webapp import db

# Database model to represent a user.
class User(db.Model):
    # The user's identifying information:
    id = db.Column(db.String(120), primary_key=True)
    display_name = db.Column(db.String(80))
    email = db.Column(db.String(120), unique=True)
    portrait_url = db.Column(db.Text())

    # The user's refresh token, which will be used to obtain an access token.
    # Note that refresh tokens will become invalid if:
    # - The refresh token has not been used for six months.
    # - The user revokes your app's access permissions.
    # - The user changes passwords.
    # - The user belongs to a Google Cloud organization
    #   that has session control policies in effect.
    refresh_token = db.Column(db.Text())

Fügen Sie schließlich in der Datei __init__.py Ihres Moduls Folgendes hinzu, um die neuen Modelle zu importieren und die Datenbank zu erstellen.

from webapp import models
from os import path
from flask_sqlalchemy import SQLAlchemy

db = SQLAlchemy(app)

# Initialize the database file if not created.
if not path.exists(config.DATABASE_FILE_NAME):
    db.create_all()

Java

Das Nutzerschema definieren

Ein User enthält die folgenden Attribute:

  • id: Die Google-ID des Nutzers. Dieser Wert sollte mit dem Wert übereinstimmen, der im Abfrageparameter login_hint angegeben ist.
  • email: Die E‑Mail-Adresse des Nutzers.

Erstellen Sie im Verzeichnis resources des Moduls eine Datei schema.sql. Spring liest diese Datei und generiert entsprechend ein Schema für die Datenbank. Definieren Sie die Tabelle mit einem Tabellennamen, users, und Spalten, um die die User Attribute, id und email darzustellen.

CREATE TABLE IF NOT EXISTS users (
    id VARCHAR(255) PRIMARY KEY, -- user's unique Google ID
    email VARCHAR(255), -- user's email address
);

Erstellen Sie eine Java-Klasse, um das User-Modell für die Datenbank zu definieren. Im Beispiel ist das User.java

Fügen Sie die Annotation @Entity hinzu, um anzugeben, dass es sich um ein POJO handelt, das in der Datenbank gespeichert werden kann. Fügen Sie die @Table Annotation mit dem entsprechenden Tabellennamen hinzu, den Sie in schema.sql konfiguriert haben.

Das Codebeispiel enthält Konstruktoren und Setter für die beiden Attribute. Der Konstruktor und die Setter werden in AuthController.java verwendet, um einen Nutzer in der Datenbank zu erstellen oder zu aktualisieren. Sie können auch Getter und eine toString Methode hinzufügen, aber für diese Anleitung werden diese Methoden nicht verwendet und aus Gründen der Übersichtlichkeit aus dem Codebeispiel auf dieser Seite entfernt.

/** An entity class that provides a model to store user information. */
@Entity
@Table(name = "users")
public class User {
    /** The user's unique Google ID. The @Id annotation specifies that this
     *   is the primary key. */
    @Id
    @Column
    private String id;

    /** The user's email address. */
    @Column
    private String email;

    /** Required User class no args constructor. */
    public User() {
    }

    /** The User class constructor that creates a User object with the
    *   specified parameters.
    *   @param id the user's unique Google ID
    *   @param email the user's email address
    */
    public User(String id, String email) {
        this.id = id;
        this.email = email;
    }

    public void setId(String id) { this.id = id; }

    public void setEmail(String email) { this.email = email; }
}

Erstellen Sie eine Schnittstelle namens UserRepository.java, um CRUD-Vorgänge für die Datenbank zu verarbeiten. Diese Schnittstelle erweitert die Schnittstelle CrudRepository.

/** Provides CRUD operations for the User class by extending the
 *   CrudRepository interface. */
@Repository
public interface UserRepository extends CrudRepository<User, String> {
}

Die Controller-Klasse erleichtert die Kommunikation zwischen dem Client und dem Repository. Aktualisieren Sie daher den Konstruktor der Controller-Klasse, um die Klasse UserRepository einzufügen.

/** Declare UserRepository to be used in the Controller class constructor. */
private final UserRepository userRepository;

/**
*   ...
*   @param userRepository the class that interacts with User objects stored in
*   persistent storage.
*/
public AuthController(AuthService authService, UserRepository userRepository) {
    this.authService = authService;
    this.userRepository = userRepository;
}

Datenbank einrichten

Verwenden Sie eine H2-Datenbank, die in Spring Boot nativ unterstützt wird, um nutzerbezogene Informationen zu speichern. Diese Datenbank wird auch in den folgenden Anleitungen verwendet, um andere Classroom-bezogene Informationen zu speichern. Zum Einrichten der H2-Datenbank müssen Sie application.properties die folgende Konfiguration hinzufügen.

# Enable configuration for persistent storage using an H2 database
spring.datasource.driver-class-name=org.h2.Driver
spring.datasource.url=jdbc:h2:file:./h2/userdb
spring.datasource.username=<USERNAME>
spring.datasource.password=<PASSWORD>
spring.jpa.hibernate.ddl-auto=update
spring.jpa.open-in-view=false

Die Konfiguration spring.datasource.url erstellt ein Verzeichnis namens h2, in dem die Datei userdb gespeichert ist. Fügen Sie den Pfad zur H2-Datenbank zu dem .gitignore hinzu. Sie müssen spring.datasource.username und spring.datasource.password aktualisieren, bevor Sie die Anwendung ausführen, um die Datenbank mit einem Nutzernamen und einem Passwort Ihrer Wahl einzurichten. Wenn Sie den Nutzernamen und das Passwort für die Datenbank nach dem Ausführen der Anwendung aktualisieren möchten, löschen Sie das generierte h2 Verzeichnis, aktualisieren Sie die Konfiguration und führen Sie die Anwendung noch einmal aus.

Wenn Sie die Konfiguration spring.jpa.hibernate.ddl-auto auf update setzen, bleiben die in der Datenbank gespeicherten Daten erhalten, wenn die Anwendung neu gestartet wird. Wenn Sie die Datenbank bei jedem Neustart der Anwendung löschen möchten, setzen Sie diese Konfiguration auf create.

Setzen Sie die Konfiguration spring.jpa.open-in-view auf false. Diese Konfiguration ist standardmäßig aktiviert und kann zu Leistungsproblemen führen, die schwer in der Produktion zu diagnostizieren sind.

Wie bereits beschrieben, müssen Sie die Anmeldedaten eines wiederkehrenden Nutzers abrufen können. Dies wird durch die integrierte Unterstützung für den Anmeldedatenspeicher ermöglicht, die von GoogleAuthorizationCodeFlow angeboten wird.

Definieren Sie in der Klasse AuthService.java einen Pfad zur Datei, in der die Anmeldedatenklasse gespeichert ist. In diesem Beispiel wird die Datei im Verzeichnis /credentialStore erstellt. Fügen Sie den Pfad zum Anmeldedatenspeicher zu den .gitignore hinzu. Dieses Verzeichnis wird generiert, sobald der Nutzer den Autorisierungsablauf startet.

private static final File dataDirectory = new File("credentialStore");

Erstellen Sie als Nächstes in der Datei AuthService.java eine Methode, die ein FileDataStoreFactory Objekt erstellt und zurückgibt. Dies ist der Datenspeicher, in dem Anmeldedaten gespeichert werden.

/** Creates and returns FileDataStoreFactory object to store credentials.
 *   @return FileDataStoreFactory dataStore used to save and obtain users ids
 *   mapped to Credentials.
 *   @throws IOException if creating the dataStore is unsuccessful.
 */
public FileDataStoreFactory getCredentialDataStore() throws IOException {
    FileDataStoreFactory dataStore = new FileDataStoreFactory(dataDirectory);
    return dataStore;
}

Aktualisieren Sie die getFlow() Methode in AuthService.java, um setDataStoreFactory in die GoogleAuthorizationCodeFlow Builder() Methode einzufügen und getCredentialDataStore() aufzurufen, um den Datenspeicher festzulegen.

GoogleAuthorizationCodeFlow authorizationCodeFlow =
    new GoogleAuthorizationCodeFlow.Builder(
        HTTP_TRANSPORT,
        JSON_FACTORY,
        getClientSecrets(),
        getScopes())
    .setAccessType("offline")
    .setDataStoreFactory(getCredentialDataStore())
    .build();

Aktualisieren Sie als Nächstes die Methode getAndSaveCredentials(String authorizationCode). Bisher hat diese Methode Anmeldedaten abgerufen, ohne sie irgendwo zu speichern. Aktualisieren Sie die Methode, um die Anmeldedaten im Datenspeicher zu speichern, der nach der Nutzer-ID indexiert ist.

Die Nutzer-ID kann mit dem id_token aus dem TokenResponse Objekt abgerufen werden, muss aber zuerst überprüft werden. Andernfalls können Client Anwendungen Nutzer möglicherweise nachahmen, indem sie geänderte Nutzer IDs an den Server senden. Es wird empfohlen, die Google API-Client Bibliotheken zu verwenden, um id_token zu validieren. Weitere Informationen finden Sie auf der Google Identity-Seite zum Überprüfen des Google-ID-Tokens.

// Obtaining the id_token will help determine which user signed in to the application.
String idTokenString = tokenResponse.get("id_token").toString();

// Validate the id_token using the GoogleIdTokenVerifier object.
GoogleIdTokenVerifier googleIdTokenVerifier = new GoogleIdTokenVerifier.Builder(
        HTTP_TRANSPORT,
        JSON_FACTORY)
    .setAudience(Collections.singletonList(
        googleClientSecrets.getWeb().getClientId()))
    .build();

GoogleIdToken idToken = googleIdTokenVerifier.verify(idTokenString);

if (idToken == null) {
    throw new Exception("Invalid ID token.");
}

Sobald id_token überprüft wurde, rufen Sie userId ab, um es zusammen mit den abgerufenen Anmeldedaten zu speichern.

// Obtain the user id from the id_token.
Payload payload = idToken.getPayload();
String userId = payload.getSubject();

Aktualisieren Sie den Aufruf von flow.createAndStoreCredential, um userId einzufügen.

// Save the user id and credentials to the configured FileDataStoreFactory.
Credential credential = flow.createAndStoreCredential(tokenResponse, userId);

Fügen Sie der AuthService.java Klasse eine Methode hinzu, die die Anmeldedaten für einen bestimmten Nutzer zurückgibt, falls er im Datenspeicher vorhanden ist.

/** Find credentials in the datastore based on a specific user id.
*   @param userId key to find in the file datastore.
*   @return Credential object to be returned if a matching key is found in the datastore. Null if
*   the key doesn't exist.
*   @throws Exception if building flow object or checking for userId key is unsuccessful. */
public Credential loadFromCredentialDataStore(String userId) throws Exception {
    try {
        GoogleAuthorizationCodeFlow flow = getFlow();
        Credential credential = flow.loadCredential(userId);
        return credential;
    } catch (Exception e) {
        e.printStackTrace();
        throw e;
    }
}

Anmeldedaten abrufen

Definieren Sie eine Methode zum Abrufen von Users. Sie erhalten eine id im Abfrageparameter login_hint, mit der Sie einen bestimmten Nutzerdatensatz abrufen können.

Python

def get_credentials_from_storage(id):
    """
    Retrieves credentials from the storage and returns them as a dictionary.
    """
    return User.query.get(id)

Java

Definieren Sie in der Klasse AuthController.java eine Methode, um einen Nutzer anhand seiner Nutzer-ID aus der Datenbank abzurufen.

/** Retrieves stored credentials based on the user id.
*   @param id the id of the current user
*   @return User the database entry corresponding to the current user or null
*   if the user doesn't exist in the database.
*/
public User getUser(String id) {
    if (id != null) {
        Optional<User> user = userRepository.findById(id);
        if (user.isPresent()) {
            return user.get();
        }
    }
    return null;
}

Anmeldedaten speichern

Es gibt zwei Szenarien, in denen Anmeldedaten gespeichert werden. Wenn die id des Nutzers bereits in der Datenbank vorhanden ist, aktualisieren Sie den vorhandenen Datensatz mit allen neuen Werten. Andernfalls erstellen Sie einen neuen User-Datensatz und fügen ihn der Datenbank hinzu.

Python

Definieren Sie zuerst eine Hilfsmethode, die das Speicher- oder Aktualisierungsverhalten implementiert.

def save_user_credentials(credentials=None, user_info=None):
    """
    Updates or adds a User to the database. A new user is added only if both
    credentials and user_info are provided.

    Args:
        credentials: An optional Credentials object.
        user_info: An optional dict containing user info returned by the
            OAuth 2.0 API.
    """

    existing_user = get_credentials_from_storage(
        flask.session.get("login_hint"))

    if existing_user:
        if user_info:
            existing_user.id = user_info.get("id")
            existing_user.display_name = user_info.get("name")
            existing_user.email = user_info.get("email")
            existing_user.portrait_url = user_info.get("picture")

        if credentials and credentials.refresh_token is not None:
            existing_user.refresh_token = credentials.refresh_token

    elif credentials and user_info:
        new_user = User(id=user_info.get("id"),
                        display_name=user_info.get("name"),
                        email=user_info.get("email"),
                        portrait_url=user_info.get("picture"),
                        refresh_token=credentials.refresh_token)

        db.session.add(new_user)

    db.session.commit()

Es gibt zwei Fälle, in denen Sie Anmeldedaten in Ihrer Datenbank speichern können: wenn der Nutzer am Ende des Autorisierungsablaufs zu Ihrer Anwendung zurückkehrt und wenn ein API-Aufruf erfolgt. Hier haben wir zuvor den Sitzungsschlüssel credentials festgelegt.

Rufen Sie save_user_credentials am Ende Ihrer callback-Route auf. Behalten Sie das Objekt user_info bei, anstatt nur den Namen des Nutzers zu extrahieren.

# The flow is complete! We'll use the credentials to fetch the user's info.
user_info_service = googleapiclient.discovery.build(
    serviceName="oauth2", version="v2", credentials=credentials)

user_info = user_info_service.userinfo().get().execute()

flask.session["username"] = user_info.get("name")

save_user_credentials(credentials, user_info)

Sie sollten die Anmeldedaten auch nach Aufrufen der API aktualisieren. In diesem Fall können Sie die aktualisierten Anmeldedaten als Argumente an die Methode save_user_credentials übergeben.

# Save credentials in case access token was refreshed.
flask.session["credentials"] = credentials_to_dict(credentials)
save_user_credentials(credentials)

Java

Definieren Sie zuerst eine Methode, die ein User-Objekt in der H2-Datenbank speichert oder aktualisiert.

/** Adds or updates a user in the database.
*   @param credential the credentials object to save or update in the database.
*   @param userinfo the userinfo object to save or update in the database.
*   @param session the current session.
*/
public void saveUser(Credential credential, Userinfo userinfo, HttpSession session) {
    User storedUser = null;
    if (session != null && session.getAttribute("login_hint") != null) {
        storedUser = getUser(session.getAttribute("login_hint").toString());
    }

    if (storedUser != null) {
        if (userinfo != null) {
            storedUser.setId(userinfo.getId());
            storedUser.setEmail(userinfo.getEmail());
        }
        userRepository.save(storedUser);
    } else if (credential != null && userinfo != null) {
        User newUser = new User(
            userinfo.getId(),
            userinfo.getEmail(),
        );
        userRepository.save(newUser);
    }
}

Es gibt zwei Fälle, in denen Sie Anmeldedaten in Ihrer Datenbank speichern können: wenn der Nutzer am Ende des Autorisierungsablaufs zu Ihrer Anwendung zurückkehrt und wenn ein API-Aufruf erfolgt. Hier haben wir zuvor den Sitzungsschlüssel credentials festgelegt.

Rufen Sie saveUser am Ende der Route /callback auf. Behalten Sie das Objekt user_info bei, anstatt nur die E‑Mail-Adresse des Nutzers zu extrahieren.

/** This is the end of the auth flow. We should save user info to the database. */
Userinfo userinfo = authService.getUserInfo(credentials);
saveUser(credentials, userinfo, session);

Sie sollten die Anmeldedaten auch nach Aufrufen der API aktualisieren. In diesem Fall können Sie die aktualisierten Anmeldedaten als Argumente an die Methode saveUser übergeben.

/** Save credentials in case access token was refreshed. */
saveUser(credentials, null, session);

Abgelaufene Anmeldedaten

Es gibt mehrere Gründe, warum Aktualisierungstokens ungültig werden können. Dazu gehören:

  • Das Aktualisierungstoken wurde seit sechs Monaten nicht verwendet.
  • Der Nutzer widerruft die Zugriffsberechtigungen Ihrer App.
  • Der Nutzer ändert sein Passwort.
  • Der Nutzer gehört zu einer Google Cloud-Organisation, für die Richtlinien zur Sitzungssteuerung gelten.

Rufen Sie neue Tokens ab, indem Sie den Nutzer noch einmal durch den Autorisierungsablauf leiten, falls seine Anmeldedaten ungültig werden.

Nutzer automatisch weiterleiten

Ändern Sie die Landing-Route des Add-ons, um zu erkennen, ob der Nutzer unsere Anwendung bereits autorisiert hat. Wenn ja, leiten Sie ihn zur Hauptseite unseres Add-ons weiter. Andernfalls fordern Sie ihn auf, sich anzumelden.

Python

Achten Sie darauf, dass die Datenbankdatei beim Starten der Anwendung erstellt wurde. Fügen Sie Folgendes in einen Modulinitialisierer ein (z. B. webapp/__init__.py in unserem Beispiel) oder in die Hauptmethode, die den Server startet.

# Initialize the database file if not created.
if not os.path.exists(DATABASE_FILE_NAME):
    db.create_all()

Ihre Methode sollte dann den login_hint Abfrageparameter wie oben beschrieben verarbeiten. Laden Sie dann die gespeicherten Anmeldedaten, wenn es sich um einen wiederkehrenden Besucher handelt. Sie wissen, dass es sich um einen wiederkehrenden Besucher handelt, wenn Sie login_hint erhalten haben. Rufen Sie alle gespeicherten Anmeldedaten für diesen Nutzer ab und laden Sie sie in die Sitzung.

stored_credentials = get_credentials_from_storage(login_hint)

# If we have stored credentials, store them in the session.
if stored_credentials:
    # Load the client secrets file contents.
    client_secrets_dict = json.load(
        open(CLIENT_SECRETS_FILE)).get("web")

    # Update the credentials in the session.
    if not flask.session.get("credentials"):
        flask.session["credentials"] = {}

    flask.session["credentials"] = {
        "token": stored_credentials.access_token,
        "refresh_token": stored_credentials.refresh_token,
        "token_uri": client_secrets_dict["token_uri"],
        "client_id": client_secrets_dict["client_id"],
        "client_secret": client_secrets_dict["client_secret"],
        "scopes": SCOPES
    }

    # Set the username in the session.
    flask.session["username"] = stored_credentials.display_name

Leiten Sie den Nutzer schließlich zur Anmeldeseite weiter, wenn wir seine Anmeldedaten nicht haben. Wenn wir sie haben, leiten Sie ihn zur Hauptseite des Add-ons weiter.

if "credentials" not in flask.session or \
    flask.session["credentials"]["refresh_token"] is None:
    return flask.render_template("authorization.html")

return flask.render_template(
    "addon-discovery.html",
    message="You've reached the addon discovery page.")

Java

Rufen Sie die Landing-Route Ihres Add-ons auf (/addon-discovery im Beispiel). Wie oben beschrieben, haben Sie hier den login_hint Abfrageparameter verarbeitet.

Prüfen Sie zuerst, ob Anmeldedaten in der Sitzung vorhanden sind. Wenn nicht, leiten Sie den Nutzer durch den Autorisierungsablauf, indem Sie die Methode startAuthFlow aufrufen.

/** Check if the credentials exist in the session. The session could have
 *   been cleared when the user clicked the Sign-Out button, and the expected
 *   behavior after sign-out would be to display the sign-in page when the
 *   iframe is opened again. */
if (session.getAttribute("credentials") == null) {
    return startAuthFlow(model);
}

Laden Sie dann den Nutzer aus der H2-Datenbank, wenn es sich um einen wiederkehrenden Besucher handelt. Es handelt sich um einen wiederkehrenden Besucher, wenn Sie den Abfrageparameter login_hint erhalten. Wenn der Nutzer in der H2-Datenbank vorhanden ist, laden Sie die Anmeldedaten aus dem Anmeldedaten datenspeicher, der zuvor eingerichtet wurde, und legen Sie die Anmeldedaten in der Sitzung fest. Wenn die Anmeldedaten nicht aus dem Anmeldedatenspeicher abgerufen wurden, leiten Sie den Nutzer durch den Autorisierungsablauf, indem Sie startAuthFlow aufrufen.

/** At this point, we know that credentials exist in the session, but we
 *   should update the session credentials with the credentials in persistent
 *   storage in case they were refreshed. If the credentials in persistent
 *   storage are null, we should navigate the user to the authorization flow
 *   to obtain persisted credentials. */

User storedUser = getUser(login_hint);

if (storedUser != null) {
    Credential credential = authService.loadFromCredentialDataStore(login_hint);
    if (credential != null) {
        session.setAttribute("credentials", credential);
    } else {
        return startAuthFlow(model);
    }
}

Leiten Sie den Nutzer schließlich zur Landing-Seite des Add-ons weiter.

/** Finally, if there are credentials in the session and in persistent
 *   storage, direct the user to the addon-discovery page. */
return "addon-discovery";

Add-on testen

Melden Sie sich in Google Classroom als einer Ihrer Lehrer-Test nutzer an. Rufen Sie den Tab Kursaufgaben auf und erstellen Sie eine neue Aufgabe. Klicken Sie unter dem Textfeld auf die Schaltfläche Add-ons und wählen Sie Ihr Add-on aus. Der iframe wird geöffnet und das Add-on lädt den URI für die Einrichtung von Anhängen , den Sie auf der Seite für die App-Konfiguration des Google Workspace Marketplace SDK angegeben haben.

Glückwunsch! Sie können mit dem nächsten Schritt fortfahren: Anhänge erstellen und die Rolle des Nutzers ermitteln.