Xử lý trường hợp đăng nhập nhiều lần

Đây là hướng dẫn từng bước thứ ba về các tiện ích bổ sung cho Google Lớp học loạt video hướng dẫn từng bước.

Trong phần hướng dẫn này, bạn xử lý các lượt truy cập lặp lại vào tiện ích bổ sung của chúng tôi bằng cách tự động truy xuất thông tin đăng nhập đã được cấp trước đó của người dùng. Sau đó, bạn chuyển người dùng đến mà từ đó họ có thể đưa ra yêu cầu API ngay lập tức. Đây là yêu cầu bắt buộc hành vi cho tiện ích bổ sung dành cho Lớp học.

Trong hướng dẫn từng bước này, bạn cần hoàn thành các bước sau:

  • Triển khai bộ nhớ liên tục cho thông tin đăng nhập của người dùng.
  • Truy xuất và đánh giá tham số truy vấn của tiện ích bổ sung login_hint. Đây là một mã nhận dạng Google duy nhất của người dùng đã đăng nhập.

Sau khi hoàn tất, bạn có thể uỷ quyền đầy đủ cho người dùng trong ứng dụng web của mình và thực hiện cuộc gọi để API của Google.

Tìm hiểu tham số truy vấn iframe

Lớp học tải URI thiết lập tệp đính kèm của tiện ích bổ sung dựa mở. Lớp học thêm một số tham số truy vấn GET vào URI; những thông tin này có chứa thông tin hữu ích thông tin theo ngữ cảnh. Ví dụ: nếu URI Khám phá tệp đính kèm là https://example.com/addon, Lớp học tạo iframe bằng URL nguồn được đặt thành https://example.com/addon?courseId=XXX&itemId=YYY&itemType=courseWork&addOnToken=ZZZ, trong đó XXX, YYYZZZ là mã chuỗi. Xem hướng dẫn về iframe để biết mô tả chi tiết về tình huống này.

Có thể có 5 tham số truy vấn cho URL khám phá:

  • courseId: Mã của khoá học hiện tại trên Lớp học.
  • itemId: Mã của mục trong luồng mà người dùng đang chỉnh sửa hoặc tạo.
  • itemType: Loại mục trong luồng mà người dùng đang tạo hoặc chỉnh sửa, một trong courseWork, courseWorkMaterial hoặc announcement.
  • addOnToken: Mã thông báo dùng để cho phép một số Các thao tác đối với tiện ích bổ sung dành cho Lớp học.
  • login_hint: Mã nhận dạng trên Google của người dùng hiện tại.

Hướng dẫn từng bước này đề cập đến login_hint. Người dùng được định tuyến dựa trên việc người dùng tham số truy vấn được cung cấp, cho luồng uỷ quyền nếu bị thiếu hoặc trang khám phá tiện ích bổ sung (nếu có).

Truy cập vào tham số truy vấn

Tham số truy vấn được chuyển đến ứng dụng web của bạn trong chuỗi URI. Cửa hàng các giá trị này trong phiên hoạt động của bạn; chúng được dùng trong quy trình uỷ quyền và để lưu trữ và truy xuất thông tin về người dùng. Các tham số truy vấn này chỉ khi tiện ích bổ sung được mở lần đầu tiên.

Python

Chuyển đến phần định nghĩa của các tuyến Flask (routes.py nếu bạn đang theo ví dụ mà chúng tôi cung cấp). Ở đầu tuyến đường đích bổ sung của bạn (/classroom-addon trong ví dụ được cung cấp của chúng tôi), truy xuất và lưu trữ Tham số truy vấn login_hint:

# If the login_hint query parameter is available, we'll store it in the session.
if flask.request.args.get("login_hint"):
    flask.session["login_hint"] = flask.request.args.get("login_hint")

Đảm bảo rằng login_hint (nếu có) được lưu trữ trong phiên. Đây là một nơi thích hợp để lưu trữ các giá trị này; chúng là tạm thời và bạn nhận được các giá trị mới khi mở tiện ích bổ sung.

# It's possible that we might return to this route later, in which case the
# parameters will not be passed in. Instead, use the values cached in the
# session.
login_hint = flask.session.get("login_hint")

# If there's still no login_hint query parameter, this must be their first
# time signing in, so send the user to the sign in page.
if login_hint is None:
    return start_auth_flow()

Java

Chuyển đến tuyến đích của tiện ích bổ sung trong lớp tay điều khiển (/addon-discovery trong AuthController.java trong ví dụ được cung cấp). Tại điểm bắt đầu của tuyến này, hãy truy xuất và lưu trữ truy vấn login_hint .

/** Retrieve the login_hint query parameter from the request URL if present. */
String login_hint = request.getParameter("login_hint");

Đảm bảo rằng login_hint (nếu có) được lưu trữ trong phiên. Đây là một nơi thích hợp để lưu trữ các giá trị này; chúng là tạm thời và bạn nhận được các giá trị mới khi mở tiện ích bổ sung.

/** If login_hint wasn't sent, use the values in the session. */
if (login_hint == null) {
    login_hint = (String) session.getAttribute("login_hint");
}

/** If the there is still no login_hint, route the user to the authorization
 *  page. */
if (login_hint == null) {
    return startAuthFlow(model);
}

/** If the login_hint query parameter is provided, add it to the session. */
else if (login_hint != null) {
    session.setAttribute("login_hint", login_hint);
}

Thêm tham số truy vấn vào quy trình uỷ quyền

Tham số login_hint phải được chuyển đến máy chủ xác thực của Google của Google. Việc này tạo điều kiện thuận lợi cho quá trình xác thực; nếu ứng dụng của bạn biết người dùng nào đang cố gắng xác thực, máy chủ sẽ sử dụng gợi ý để đơn giản hoá đăng nhập bằng cách điền sẵn trường email trong biểu mẫu đăng nhập.

Python

Chuyển đến tuyến uỷ quyền trong tệp máy chủ Flask của bạn (/authorize trong ví dụ chúng tôi cung cấp). Thêm đối số login_hint vào lệnh gọi tới flow.authorization_url

authorization_url, state = flow.authorization_url(
    # Enable offline access so that you can refresh an access token without
    # re-prompting the user for permission. Recommended for web server apps.
    access_type="offline",
    # Enable incremental authorization. Recommended as a best practice.
    include_granted_scopes="true",
    # The user will automatically be selected if we have the login_hint.
    login_hint=flask.session.get("login_hint"),

Java

Chuyển đến phương thức authorize() trong lớp AuthService.java. Thêm login_hint làm tham số vào phương thức và thêm login_hint và đối số cho trình tạo URL uỷ quyền.

String authUrl = flow
    .newAuthorizationUrl()
    .setState(state)
    .set("login_hint", login_hint)
    .setRedirectUri(REDIRECT_URI)
    .build();

Thêm bộ nhớ liên tục cho thông tin đăng nhập của người dùng

Nếu bạn nhận được login_hint dưới dạng tham số truy vấn khi tiện ích bổ sung tải, đó là cho biết người dùng đã hoàn tất quy trình cấp phép cho . Bạn nên truy xuất thông tin đăng nhập trước đó của họ thay vì buộc họ để đăng nhập lại.

Hãy nhớ rằng bạn đã nhận được mã làm mới sau khi hoàn tất quy trình uỷ quyền. Lưu mã thông báo này; mã này sẽ được sử dụng lại để lấy mã truy cập, chỉ tồn tại trong thời gian ngắn và cần thiết để sử dụng các API của Google. Bạn từng lưu trước đây các thông tin đăng nhập này trong phiên hoạt động, nhưng bạn cần lưu trữ thông tin đăng nhập để xử lý các lượt truy cập lặp lại.

Xác định Giản đồ người dùng và thiết lập cơ sở dữ liệu

Thiết lập giản đồ cơ sở dữ liệu cho User.

Python

Xác định Giản đồ người dùng

User chứa các thuộc tính sau:

  • id: Mã nhận dạng trên Google của người dùng. Giá trị này phải khớp với các giá trị được cung cấp trong Tham số truy vấn login_hint.
  • display_name: Họ và tên của người dùng, chẳng hạn như "Alex Smith".
  • email: Địa chỉ email của người dùng.
  • portrait_url: URL ảnh hồ sơ của người dùng.
  • refresh_token: Mã làm mới đã thu nạp trước đó.

Ví dụ này triển khai bộ nhớ bằng SQLite, vốn được hỗ trợ bởi Python. Công cụ này sử dụng mô-đun flask_sqlalchemy để hỗ trợ cơ sở dữ liệu của chúng tôi Google Cloud.

Thiết lập cơ sở dữ liệu

Đầu tiên, hãy chỉ định vị trí tệp cho cơ sở dữ liệu của chúng ta. Chuyển đến máy chủ của bạn tệp cấu hình (config.py trong ví dụ được cung cấp của chúng tôi) và thêm đang theo dõi.

import os

# Point to a database file in the project root.
DATABASE_FILE_NAME = os.path.join(
    os.path.abspath(os.path.dirname(__file__)), 'data.sqlite')

class Config(object):
    SQLALCHEMY_DATABASE_URI = f"sqlite:///{DATABASE_FILE_NAME}"
    SQLALCHEMY_TRACK_MODIFICATIONS = False

Thao tác này sẽ trỏ Flask đến tệp data.sqlite trong cùng thư mục với tệp main.py.

Tiếp theo, hãy chuyển đến thư mục mô-đun của bạn rồi tạo một tệp models.py mới. Đây là webapp/models.py nếu bạn đang làm theo ví dụ mà chúng tôi cung cấp. Thêm sau đây vào tệp mới để xác định bảng User, thay thế tên mô-đun cho webapp nếu khác.

from webapp import db

# Database model to represent a user.
class User(db.Model):
    # The user's identifying information:
    id = db.Column(db.String(120), primary_key=True)
    display_name = db.Column(db.String(80))
    email = db.Column(db.String(120), unique=True)
    portrait_url = db.Column(db.Text())

    # The user's refresh token, which will be used to obtain an access token.
    # Note that refresh tokens will become invalid if:
    # - The refresh token has not been used for six months.
    # - The user revokes your app's access permissions.
    # - The user changes passwords.
    # - The user belongs to a Google Cloud organization
    #   that has session control policies in effect.
    refresh_token = db.Column(db.Text())

Cuối cùng, trong tệp __init__.py của mô-đun, hãy thêm đoạn mã sau để nhập các mô hình mới và tạo cơ sở dữ liệu.

from webapp import models
from os import path
from flask_sqlalchemy import SQLAlchemy

db = SQLAlchemy(app)

# Initialize the database file if not created.
if not path.exists(config.DATABASE_FILE_NAME):
    db.create_all()

Java

Xác định Giản đồ người dùng

User chứa các thuộc tính sau:

  • id: Mã nhận dạng trên Google của người dùng. Giá trị này phải khớp với giá trị được cung cấp trong Tham số truy vấn login_hint.
  • email: Địa chỉ email của người dùng.

Tạo tệp schema.sql trong thư mục resources của mô-đun. Lò xo đọc tệp này và tạo giản đồ cho cơ sở dữ liệu cho phù hợp. Xác định bảng có tên bảng, users và các cột để biểu thị các thuộc tính User, idemail.

CREATE TABLE IF NOT EXISTS users (
    id VARCHAR(255) PRIMARY KEY, -- user's unique Google ID
    email VARCHAR(255), -- user's email address
);

Tạo một lớp Java để định nghĩa mô hình User cho cơ sở dữ liệu. Đây là User.java trong ví dụ được cung cấp.

Thêm chú thích @Entity để cho biết đây là một POJO có thể đã được lưu vào cơ sở dữ liệu. Thêm chú thích @Table bằng tên bảng tương ứng mà bạn đã thiết lập trong schema.sql.

Lưu ý rằng ví dụ về mã bao gồm hàm khởi tạo và phương thức setter cho hai thuộc tính này . Hàm khởi tạo và phương thức setter được sử dụng trong AuthController.java để tạo hoặc cập nhật người dùng trong cơ sở dữ liệu. Bạn cũng có thể bao gồm phương thức getter và phương thức toString nếu bạn thấy phù hợp, nhưng đối với hướng dẫn từng bước cụ thể này, các phương pháp này sẽ không được sử dụng và bị loại bỏ khỏi ví dụ về mã trên trang này để cho ngắn gọn.

/** An entity class that provides a model to store user information. */
@Entity
@Table(name = "users")
public class User {
    /** The user's unique Google ID. The @Id annotation specifies that this
     *   is the primary key. */
    @Id
    @Column
    private String id;

    /** The user's email address. */
    @Column
    private String email;

    /** Required User class no args constructor. */
    public User() {
    }

    /** The User class constructor that creates a User object with the
    *   specified parameters.
    *   @param id the user's unique Google ID
    *   @param email the user's email address
    */
    public User(String id, String email) {
        this.id = id;
        this.email = email;
    }

    public void setId(String id) { this.id = id; }

    public void setEmail(String email) { this.email = email; }
}

Tạo một giao diện có tên là UserRepository.java để xử lý các thao tác CRUD vào cơ sở dữ liệu. Giao diện này mở rộng giao diện CrudRepository.

/** Provides CRUD operations for the User class by extending the
 *   CrudRepository interface. */
@Repository
public interface UserRepository extends CrudRepository<User, String> {
}

Lớp tay điều khiển hỗ trợ việc giao tiếp giữa ứng dụng và kho lưu trữ. Do đó, hãy cập nhật hàm khởi tạo lớp tay điều khiển để chèn lớp UserRepository.

/** Declare UserRepository to be used in the Controller class constructor. */
private final UserRepository userRepository;

/**
*   ...
*   @param userRepository the class that interacts with User objects stored in
*   persistent storage.
*/
public AuthController(AuthService authService, UserRepository userRepository) {
    this.authService = authService;
    this.userRepository = userRepository;
}

Thiết lập cơ sở dữ liệu

Để lưu trữ thông tin liên quan đến người dùng, hãy sử dụng cơ sở dữ liệu H2 về bản chất được hỗ trợ trong Spring Boot. Cơ sở dữ liệu này cũng được dùng trong hướng dẫn từng bước để lưu trữ các nội dung khác liên quan đến Lớp học của bạn. Để thiết lập cơ sở dữ liệu H2, bạn phải thêm các thành phần sau thành application.properties.

# Enable configuration for persistent storage using an H2 database
spring.datasource.driver-class-name=org.h2.Driver
spring.datasource.url=jdbc:h2:file:./h2/userdb
spring.datasource.username=<USERNAME>
spring.datasource.password=<PASSWORD>
spring.jpa.hibernate.ddl-auto=update
spring.jpa.open-in-view=false

Cấu hình spring.datasource.url sẽ tạo một thư mục có tên là h2, trong đó tệp userdb được lưu trữ bên trong đó. Thêm đường dẫn đến cơ sở dữ liệu H2 vào .gitignore. Bạn phải cập nhật spring.datasource.usernamespring.datasource.password trước khi chạy ứng dụng để đặt giá trị bằng tên người dùng và mật khẩu do bạn chọn. Để cập nhật tên người dùng và mật khẩu cho cơ sở dữ liệu sau khi chạy ứng dụng, xoá thư mục h2 đã tạo, cập nhật cấu hình và chạy lại ứng dụng.

Việc đặt cấu hình spring.jpa.hibernate.ddl-auto thành update sẽ đảm bảo rằng dữ liệu lưu trữ trong cơ sở dữ liệu được bảo toàn khi ứng dụng được khởi động lại. Để xoá cơ sở dữ liệu mỗi khi khởi động lại ứng dụng, hãy đặt thuộc tính này thành create.

Đặt cấu hình spring.jpa.open-in-view thành false. Cấu hình này đã được bật theo mặc định và có thể dẫn đến các vấn đề về hiệu suất khó chẩn đoán trong quá trình sản xuất.

Như đã mô tả trước đó, bạn phải có khả năng truy xuất thông tin đăng nhập của người dùng lặp lại. Việc này được thực hiện nhờ kho thông tin xác thực tích hợp sẵn hỗ trợ do GoogleAuthorizationCodeFlow cung cấp.

Trong lớp AuthService.java, hãy xác định một đường dẫn đến tệp mà lớp thông tin xác thực được lưu trữ. Trong ví dụ này, tệp được tạo trong Thư mục /credentialStore. Thêm đường dẫn tới kho lưu trữ thông tin xác thực vào .gitignore. Thư mục này được tạo sau khi người dùng bắt đầu quy trình uỷ quyền.

private static final File dataDirectory = new File("credentialStore");

Tiếp theo, hãy tạo một phương thức trong tệp AuthService.java để tạo và trả về một đối tượng FileDataStoreFactory. Đây là kho dữ liệu sẽ lưu trữ thông tin đăng nhập.

/** Creates and returns FileDataStoreFactory object to store credentials.
 *   @return FileDataStoreFactory dataStore used to save and obtain users ids
 *   mapped to Credentials.
 *   @throws IOException if creating the dataStore is unsuccessful.
 */
public FileDataStoreFactory getCredentialDataStore() throws IOException {
    FileDataStoreFactory dataStore = new FileDataStoreFactory(dataDirectory);
    return dataStore;
}

Cập nhật phương thức getFlow() trong AuthService.java để đưa vào setDataStoreFactory trong GoogleAuthorizationCodeFlow Builder() và gọi getCredentialDataStore() để thiết lập kho dữ liệu.

GoogleAuthorizationCodeFlow authorizationCodeFlow =
    new GoogleAuthorizationCodeFlow.Builder(
        HTTP_TRANSPORT,
        JSON_FACTORY,
        getClientSecrets(),
        getScopes())
    .setAccessType("offline")
    .setDataStoreFactory(getCredentialDataStore())
    .build();

Tiếp theo, hãy cập nhật phương thức getAndSaveCredentials(String authorizationCode). Trước đây, phương thức này lấy thông tin xác thực mà không cần lưu trữ thông tin đó ở bất cứ đâu. Cập nhật phương thức để lưu trữ thông tin xác thực trong kho dữ liệu được lập chỉ mục theo mã nhận dạng người dùng.

Bạn có thể lấy mã nhận dạng người dùng từ đối tượng TokenResponse bằng cách sử dụng id_token nhưng phải được xác minh trước tiên. Nếu không, khách hàng ứng dụng có thể mạo danh người dùng bằng cách gửi người dùng đã được sửa đổi mã nhận dạng vào máy chủ. bạn nên dùng Ứng dụng Google API để xác thực id_token. Xem [trang Thông tin nhận dạng của Google trên xác minh mã thông báo ID Google] để biết thêm thông tin.

// Obtaining the id_token will help determine which user signed in to the application.
String idTokenString = tokenResponse.get("id_token").toString();

// Validate the id_token using the GoogleIdTokenVerifier object.
GoogleIdTokenVerifier googleIdTokenVerifier = new GoogleIdTokenVerifier.Builder(
        HTTP_TRANSPORT,
        JSON_FACTORY)
    .setAudience(Collections.singletonList(
        googleClientSecrets.getWeb().getClientId()))
    .build();

GoogleIdToken idToken = googleIdTokenVerifier.verify(idTokenString);

if (idToken == null) {
    throw new Exception("Invalid ID token.");
}

Sau khi id_token được xác minh, hãy lấy userId để lưu trữ cùng bằng thông tin xác thực thu được.

// Obtain the user id from the id_token.
Payload payload = idToken.getPayload();
String userId = payload.getSubject();

Cập nhật lệnh gọi thành flow.createAndStoreCredential để đưa userId vào.

// Save the user id and credentials to the configured FileDataStoreFactory.
Credential credential = flow.createAndStoreCredential(tokenResponse, userId);

Thêm một phương thức vào lớp AuthService.java để trả về thông tin xác thực cho một người dùng cụ thể nếu lệnh đó có trong kho dữ liệu.

/** Find credentials in the datastore based on a specific user id.
*   @param userId key to find in the file datastore.
*   @return Credential object to be returned if a matching key is found in the datastore. Null if
*   the key doesn't exist.
*   @throws Exception if building flow object or checking for userId key is unsuccessful. */
public Credential loadFromCredentialDataStore(String userId) throws Exception {
    try {
        GoogleAuthorizationCodeFlow flow = getFlow();
        Credential credential = flow.loadCredential(userId);
        return credential;
    } catch (Exception e) {
        e.printStackTrace();
        throw e;
    }
}

Truy xuất thông tin đăng nhập

Xác định phương thức tìm nạp Users. Bạn đã được cung cấp một id trong Tham số truy vấn login_hint mà bạn có thể sử dụng để truy xuất một người dùng cụ thể ghi lại.

Python

def get_credentials_from_storage(id):
    """
    Retrieves credentials from the storage and returns them as a dictionary.
    """
    return User.query.get(id)

Java

Trong lớp AuthController.java, hãy xác định một phương thức để truy xuất người dùng từ cơ sở dữ liệu dựa trên mã nhận dạng người dùng của họ.

/** Retrieves stored credentials based on the user id.
*   @param id the id of the current user
*   @return User the database entry corresponding to the current user or null
*   if the user doesn't exist in the database.
*/
public User getUser(String id) {
    if (id != null) {
        Optional<User> user = userRepository.findById(id);
        if (user.isPresent()) {
            return user.get();
        }
    }
    return null;
}

Lưu trữ thông tin đăng nhập

Có hai trường hợp khi lưu trữ thông tin đăng nhập. Nếu id của người dùng đã trong cơ sở dữ liệu, sau đó cập nhật giá trị mới cho bản ghi hiện có. Nếu không, tạo một bản ghi User mới rồi thêm bản ghi đó vào cơ sở dữ liệu.

Python

Trước tiên, hãy xác định một phương thức tiện ích giúp triển khai bộ nhớ hoặc cập nhật hành vi.

def save_user_credentials(credentials=None, user_info=None):
    """
    Updates or adds a User to the database. A new user is added only if both
    credentials and user_info are provided.

    Args:
        credentials: An optional Credentials object.
        user_info: An optional dict containing user info returned by the
            OAuth 2.0 API.
    """

    existing_user = get_credentials_from_storage(
        flask.session.get("login_hint"))

    if existing_user:
        if user_info:
            existing_user.id = user_info.get("id")
            existing_user.display_name = user_info.get("name")
            existing_user.email = user_info.get("email")
            existing_user.portrait_url = user_info.get("picture")

        if credentials and credentials.refresh_token is not None:
            existing_user.refresh_token = credentials.refresh_token

    elif credentials and user_info:
        new_user = User(id=user_info.get("id"),
                        display_name=user_info.get("name"),
                        email=user_info.get("email"),
                        portrait_url=user_info.get("picture"),
                        refresh_token=credentials.refresh_token)

        db.session.add(new_user)

    db.session.commit()

Có hai trường hợp bạn có thể lưu thông tin đăng nhập vào cơ sở dữ liệu: khi người dùng quay lại ứng dụng của bạn vào cuối quy trình uỷ quyền và khi thực hiện lệnh gọi API. Đây là nơi chúng tôi trước đó bạn đã đặt khoá credentials của phiên.

Gọi save_user_credentials ở cuối tuyến callback. Giữ nguyên user_info thay vì chỉ trích xuất tên của người dùng.

# The flow is complete! We'll use the credentials to fetch the user's info.
user_info_service = googleapiclient.discovery.build(
    serviceName="oauth2", version="v2", credentials=credentials)

user_info = user_info_service.userinfo().get().execute()

flask.session["username"] = user_info.get("name")

save_user_credentials(credentials, user_info)

Bạn cũng nên cập nhật thông tin đăng nhập sau các lệnh gọi API. Trong phần này trong trường hợp bạn có thể cung cấp thông tin đăng nhập đã cập nhật dưới dạng đối số cho save_user_credentials.

# Save credentials in case access token was refreshed.
flask.session["credentials"] = credentials_to_dict(credentials)
save_user_credentials(credentials)

Java

Trước tiên, hãy xác định một phương thức lưu trữ hoặc cập nhật đối tượng User trong H2 cơ sở dữ liệu.

/** Adds or updates a user in the database.
*   @param credential the credentials object to save or update in the database.
*   @param userinfo the userinfo object to save or update in the database.
*   @param session the current session.
*/
public void saveUser(Credential credential, Userinfo userinfo, HttpSession session) {
    User storedUser = null;
    if (session != null && session.getAttribute("login_hint") != null) {
        storedUser = getUser(session.getAttribute("login_hint").toString());
    }

    if (storedUser != null) {
        if (userinfo != null) {
            storedUser.setId(userinfo.getId());
            storedUser.setEmail(userinfo.getEmail());
        }
        userRepository.save(storedUser);
    } else if (credential != null && userinfo != null) {
        User newUser = new User(
            userinfo.getId(),
            userinfo.getEmail(),
        );
        userRepository.save(newUser);
    }
}

Có hai trường hợp bạn có thể lưu thông tin đăng nhập vào cơ sở dữ liệu: khi người dùng quay lại ứng dụng của bạn vào cuối quy trình uỷ quyền và khi thực hiện lệnh gọi API. Đây là nơi chúng tôi trước đó bạn đã đặt khoá credentials của phiên.

Gọi saveUser ở cuối tuyến /callback. Bạn nên giữ lại user_info thay vì chỉ trích xuất email của người dùng.

/** This is the end of the auth flow. We should save user info to the database. */
Userinfo userinfo = authService.getUserInfo(credentials);
saveUser(credentials, userinfo, session);

Bạn cũng nên cập nhật thông tin đăng nhập sau các lệnh gọi API. Trong phần này trong trường hợp, bạn có thể cung cấp thông tin đăng nhập đã cập nhật dưới dạng đối số cho saveUser .

/** Save credentials in case access token was refreshed. */
saveUser(credentials, null, session);

Thông tin đăng nhập đã hết hạn

Xin lưu ý rằng có một vài lý do có thể khiến mã làm mới không hợp lệ. Các bao gồm:

  • Mã làm mới đã không được dùng trong 6 tháng.
  • Người dùng thu hồi quyền truy cập của ứng dụng.
  • Người dùng thay đổi mật khẩu.
  • Người dùng thuộc một tổ chức trên Google Cloud có quyền kiểm soát phiên chính sách khác có hiệu lực.

Nhận mã thông báo mới bằng cách gửi lại người dùng thông qua quy trình uỷ quyền nếu thông tin đăng nhập của họ trở nên không hợp lệ.

Tự động định tuyến người dùng

Sửa đổi lộ trình đích của tiện ích bổ sung để phát hiện xem người dùng đã cho phép trước đó hay chưa ứng dụng của chúng tôi. Nếu có, hãy chuyển họ đến trang tiện ích bổ sung chính của chúng tôi. Nếu không, hãy nhắc để họ đăng nhập.

Python

Đảm bảo rằng tệp cơ sở dữ liệu đã được tạo khi ứng dụng khởi chạy. Chèn mã sau vào trình khởi tạo mô-đun (chẳng hạn như webapp/__init__.py trong ví dụ chúng tôi cung cấp) hoặc trong phương thức chính mà khởi chạy máy chủ.

# Initialize the database file if not created.
if not os.path.exists(DATABASE_FILE_NAME):
    db.create_all()

Sau đó, phương thức của bạn sẽ xử lý tham số truy vấn login_hint như thảo luận ở trên. Sau đó, tải thông tin xác thực cửa hàng nếu đây là lần lặp lại khách truy cập. Bạn biết đó là khách truy cập lặp lại nếu bạn nhận được login_hint. Truy xuất mọi thông tin đăng nhập đã lưu trữ cho người dùng này rồi tải thông tin đó vào phiên hoạt động.

stored_credentials = get_credentials_from_storage(login_hint)

# If we have stored credentials, store them in the session.
if stored_credentials:
    # Load the client secrets file contents.
    client_secrets_dict = json.load(
        open(CLIENT_SECRETS_FILE)).get("web")

    # Update the credentials in the session.
    if not flask.session.get("credentials"):
        flask.session["credentials"] = {}

    flask.session["credentials"] = {
        "token": stored_credentials.access_token,
        "refresh_token": stored_credentials.refresh_token,
        "token_uri": client_secrets_dict["token_uri"],
        "client_id": client_secrets_dict["client_id"],
        "client_secret": client_secrets_dict["client_secret"],
        "scopes": SCOPES
    }

    # Set the username in the session.
    flask.session["username"] = stored_credentials.display_name

Cuối cùng, hãy chuyển hướng người dùng đến trang đăng nhập nếu chúng tôi không có thông tin xác thực. Nếu có, hãy chuyển họ đến trang tiện ích bổ sung chính.

if "credentials" not in flask.session or \
    flask.session["credentials"]["refresh_token"] is None:
    return flask.render_template("authorization.html")

return flask.render_template(
    "addon-discovery.html",
    message="You've reached the addon discovery page.")

Java

Chuyển đến tuyến đường đích của tiện ích bổ sung (/addon-discovery trong đường dẫn được cung cấp ví dụ). Như đã thảo luận ở trên, đây là nơi bạn đã xử lý login_hint tham số truy vấn.

Trước tiên, hãy kiểm tra xem thông tin đăng nhập có tồn tại trong phiên đó hay không. Nếu chúng không, hãy định tuyến người dùng thông qua quy trình xác thực bằng cách gọi phương thức startAuthFlow.

/** Check if the credentials exist in the session. The session could have
 *   been cleared when the user clicked the Sign-Out button, and the expected
 *   behavior after sign-out would be to display the sign-in page when the
 *   iframe is opened again. */
if (session.getAttribute("credentials") == null) {
    return startAuthFlow(model);
}

Sau đó, tải người dùng từ cơ sở dữ liệu H2 nếu đây là khách truy cập thường xuyên. Bây giờ khách truy cập lặp lại nếu bạn nhận được tham số truy vấn login_hint. Nếu người dùng tồn tại trong cơ sở dữ liệu H2, hãy tải thông tin xác thực từ thông tin xác thực kho dữ liệu được thiết lập trước đó và đặt thông tin xác thực trong phiên. Nếu thông tin xác thực không lấy được từ kho dữ liệu thông tin xác thực, hãy định tuyến người dùng thông qua quy trình xác thực bằng cách gọi startAuthFlow.

/** At this point, we know that credentials exist in the session, but we
 *   should update the session credentials with the credentials in persistent
 *   storage in case they were refreshed. If the credentials in persistent
 *   storage are null, we should navigate the user to the authorization flow
 *   to obtain persisted credentials. */

User storedUser = getUser(login_hint);

if (storedUser != null) {
    Credential credential = authService.loadFromCredentialDataStore(login_hint);
    if (credential != null) {
        session.setAttribute("credentials", credential);
    } else {
        return startAuthFlow(model);
    }
}

Cuối cùng, hãy chuyển người dùng đến trang đích của tiện ích bổ sung.

/** Finally, if there are credentials in the session and in persistent
 *   storage, direct the user to the addon-discovery page. */
return "addon-discovery";

Kiểm thử tiện ích bổ sung

Đăng nhập vào Google Lớp học với tư cách là một trong các bài kiểm tra dành cho Giáo viên người dùng. Chuyển đến thẻ Bài tập trên lớp và tạo một Bài tập mới. Nhấp chuột nút Tiện ích bổ sung bên dưới vùng văn bản, sau đó chọn tiện ích bổ sung của bạn. Iframe sẽ mở và tiện ích bổ sung sẽ tải URI thiết lập tệp đính kèm mà bạn đã chỉ định trong Trang Cấu hình ứng dụng của SDK Google Workspace Marketplace.

Xin chúc mừng! Bạn có thể chuyển sang bước tiếp theo: tạo tệp đính kèm và xác định vai trò của người dùng.