Penautan Akun Google dengan OAuth

Akun ditautkan menggunakan alur implisit dan kode otorisasi OAuth 2.0 standar industri. Layanan Anda harus mendukung endpoint otorisasi dan pertukaran token yang mematuhi OAuth 2.0.

隐式流程中,Google 会在用户的浏览器中打开您的授权端点。成功登录后,您将向 Google 返回一个长期访问令牌。现在,此访问令牌会包含在 Google 发送的每个请求中。

授权代码流程中,您需要两个端点:

  • 授权端点,用于向尚未登录的用户显示登录界面。授权端点还会创建一个短期授权代码,以记录用户对所请求访问权限的同意情况。

  • 令牌交换端点,负责两种类型的交换:

    1. 使用授权代码换取长期有效的刷新令牌和短期有效的访问令牌。当用户完成账号关联流程时,就会发生此交换。
    2. 将长期有效的刷新令牌换成短期有效的访问令牌。当 Google 需要新的访问令牌(因为现有访问令牌已过期)时,就会发生这种交换。

选择 OAuth 2.0 流程

虽然隐式流程更易于实现,但 Google 建议通过隐式流程签发的访问令牌永不过期。这是因为,在隐式流程中,令牌过期后,系统会强制用户重新关联其账号。如果您出于安全考虑需要令牌过期,我们强烈建议您改用授权码流程。

设计准则

本部分介绍了您为 OAuth 关联流程托管的用户屏幕的设计要求和建议。在 Google 应用调用该 API 后,您的平台会向用户显示登录 Google 页面和账号关联意见征求界面。同意关联账号后,系统会将用户重定向回 Google 的应用。

此图展示了用户将其 Google 账号与您的身份验证系统相关联的步骤。第一个屏幕截图显示了用户从您的平台发起的关联。第二张图片显示用户登录 Google,第三张图片显示用户同意并确认将其 Google 账号与您的应用相关联。最后一张屏幕截图显示 Google 应用中成功关联的用户账号。
图 1.账号关联用户登录 Google 和同意屏幕。

要求

  1. 您必须说明用户的账号将与 Google 相关联,而非 Google Home 或 Google 助理等特定 Google 产品相关联。

建议

建议您执行以下操作:

  1. 显示 Google 的隐私权政策。在同意屏幕上添加指向 Google 隐私权政策的链接。

  2. 要共享的数据。使用清晰简洁的语言告知用户 Google 需要哪些用户数据以及原因。

  3. 添加醒目的号召性用语。在用户同意页面上提供明确的号召性用语,例如“同意并关联”。这是因为用户需要了解他们需要与 Google 分享哪些数据才能关联账号。

  4. 可以取消。为用户提供返回或取消链接的途径,如果用户选择不进行关联。

  5. 明确的登录流程。确保用户有明确的 Google 账号登录方法,例如用户名和密码字段或使用 Google 账号登录

  6. 能够解除关联。提供一种可让用户解除关联的机制,例如指向您平台上账号设置的网址。或者,您也可以添加指向 Google 账号的链接,以便用户管理其关联的账号。

  7. 能够更改用户账号。建议用户切换账号的方法。如果用户通常拥有多个账号,这种做法尤为有益。

    • 如果用户必须关闭意见征求界面才能切换账号,请向 Google 发送可恢复的错误,以便用户可以使用 OAuth 关联隐式流程登录所需的账号。

  8. 添加您的徽标。在意见征求页面上显示您的公司徽标。 按照您的样式准则放置徽标。如果您还想显示 Google 的徽标,请参阅徽标和商标

Membuat project

Untuk membuat project Anda agar dapat menggunakan penautan akun:

  2. Klik Buat proyek.
  3. Masukkan nama atau terima saran yang dibuat.
  4. Konfirmasi atau edit kolom yang tersisa.
  5. Klik Buat.

Untuk melihat project ID Anda:

  2. Cari project Anda di tabel pada halaman landing. Project ID muncul di kolom ID.

Proses Penautan Akun Google mencakup layar izin yang memberi tahu pengguna aplikasi yang meminta akses ke data mereka, jenis data yang diminta, dan persyaratan yang berlaku. Anda harus mengonfigurasi layar izin OAuth sebelum membuat ID klien Google API.

  1. Buka halaman Layar izin OAuth di konsol API Google.
  2. Jika diminta, pilih project yang baru saja Anda buat.

  3. Di halaman "Layar izin OAuth", isi formulir, lalu klik tombol “Simpan”.

    Nama aplikasi: Nama aplikasi yang meminta izin. Nama harus mencerminkan aplikasi Anda secara akurat dan konsisten dengan nama aplikasi yang dilihat pengguna di tempat lain. Nama aplikasi akan ditampilkan di layar izin Penautan Akun.

    Logo aplikasi: Gambar di layar izin yang akan membantu pengguna mengenali aplikasi Anda. Logo ditampilkan di layar izin Penautan akun dan di setelan akun

    Email dukungan: Agar pengguna dapat menghubungi Anda untuk mengajukan pertanyaan tentang izin mereka.

    Cakupan untuk Google API: Cakupan memungkinkan aplikasi Anda mengakses data Google pribadi pengguna Anda. Untuk kasus penggunaan Penautan Akun Google, cakupan default (email, profil, openid) sudah cukup, Anda tidak perlu menambahkan cakupan sensitif. Secara umum, praktik terbaiknya adalah meminta cakupan secara bertahap, pada saat akses diperlukan, bukan di awal. Pelajari lebih lanjut.

    Domain yang diizinkan: Guna melindungi Anda dan pengguna Anda, Google hanya mengizinkan aplikasi yang melakukan autentikasi menggunakan OAuth untuk menggunakan Domain yang Diizinkan. Link aplikasi Anda harus dihosting di Domain yang Diotorisasi. Pelajari lebih lanjut.

    Link Halaman Beranda Aplikasi: Halaman beranda untuk aplikasi Anda. Harus dihosting di Domain yang Diotorisasi.

    Link Kebijakan Privasi Aplikasi: Ditampilkan di layar izin Penautan Akun Google. Harus dihosting di Domain yang Diotorisasi.

    Link Persyaratan Layanan Aplikasi (Opsional): Harus dihosting di Domain yang Diotorisasi.

    Gambar 1. Layar Izin Penautan Akun Google untuk Aplikasi fiktif, Tunery

  4. Periksa "Status Verifikasi", jika aplikasi Anda memerlukan verifikasi, klik tombol "Kirim untuk Verifikasi" untuk mengirimkan aplikasi Anda untuk diverifikasi. Lihat persyaratan verifikasi OAuth untuk mengetahui detailnya.

Menerapkan server OAuth

Implementasi server OAuth 2.0 dari alur kode otorisasi terdiri dari dua endpoint, yang disediakan oleh layanan Anda melalui HTTPS. Endpoint pertama adalah endpoint otorisasi, yang bertanggung jawab untuk menemukan atau mendapatkan persetujuan dari pengguna untuk akses data. Endpoint otorisasi menampilkan UI login ke pengguna yang belum login dan mencatat izin akses yang diminta. Endpoint kedua adalah endpoint pertukaran token, yang digunakan untuk memperoleh string terenkripsi, yang disebut token, yang mengotorisasi pengguna untuk mengakses layanan Anda.

Bila aplikasi Google perlu memanggil salah satu API layanan Anda, Google akan menggunakan kedua endpoint tersebut untuk mendapatkan izin dari pengguna memanggil API ini atas nama mereka.

Sesi alur kode otorisasi OAuth 2.0 yang dimulai oleh Google memiliki alur berikut:

  1. Google akan membuka endpoint otorisasi Anda di browser pengguna. Jika alur dimulai di perangkat khusus suara untuk Action, Google mentransfer dieksekusi ke ponsel.
  2. Pengguna akan login, jika belum login, dan memberikan izin kepada Google untuk mengakses data mereka dengan API Anda, jika mereka belum memberikan izin.
  3. Layanan Anda membuat kode otorisasi dan mengembalikannya ke Google. Yang akan dilakukan jadi, alihkan browser pengguna kembali ke Google dengan kode otorisasi dilampirkan pada permintaan.
  4. Google mengirimkan kode otorisasi ke endpoint pertukaran token Anda, yang akan memverifikasi keaslian kode dan menampilkan token akses serta token refresh. Token akses adalah token berumur pendek yang dibutuhkan layanan Anda diterima sebagai kredensial untuk mengakses API. Token refresh berumur panjang yang dapat disimpan dan digunakan Google untuk mendapatkan token akses baru ketika berakhir.
  5. Setelah pengguna menyelesaikan alur penautan akun, setiap langkah yang dikirim dari Google berisi token akses.

Menangani permintaan otorisasi

Saat Anda perlu melakukan penautan akun menggunakan kode otorisasi OAuth 2.0 , Google mengirim pengguna ke endpoint otorisasi Anda dengan permintaan yang mencakup parameter berikut:

Parameter endpoint otorisasi
client_id Client-ID yang Anda tetapkan ke Google.
redirect_uri URL tempat Anda mengirim respons atas permintaan ini.
state Nilai pembukuan yang diteruskan kembali ke Google tanpa berubah dalam URI pengalihan.
scope Opsional: Serangkaian string cakupan yang dipisahkan spasi yang menentukan data yang otorisasinya diminta oleh Google.
response_type Jenis nilai yang akan ditampilkan dalam respons. Untuk OAuth 2.0 alur kode otorisasi, jenis responsnya selalu code.
user_locale Setelan bahasa Akun Google di RFC5646 , digunakan untuk melokalkan konten Anda ke bahasa pilihan pengguna.

Misalnya, jika endpoint otorisasi Anda tersedia di https://myservice.example.com/auth, permintaan mungkin akan terlihat seperti berikut:

GET https://myservice.example.com/auth?client_id=GOOGLE_CLIENT_ID&redirect_uri=REDIRECT_URI&state=STATE_STRING&scope=REQUESTED_SCOPES&response_type=code&user_locale=LOCALE

Agar endpoint otorisasi Anda dapat menangani permintaan login, lakukan hal berikut langkah:

  1. Pastikan bahwa client_id cocok dengan Client-ID yang Anda tetapkan ke Google, dan redirect_uri cocok dengan URL alihan yang diberikan oleh Google untuk layanan Anda. Pemeriksaan ini penting untuk mencegah pemberian akses ke aplikasi klien yang tidak diinginkan atau salah dikonfigurasi. Jika Anda mendukung beberapa OAuth 2.0 flow, juga mengonfirmasi bahwa response_type adalah code.
  2. Periksa apakah pengguna sudah login ke layanan Anda. Jika pengguna tidak {i>login<i}, menyelesaikan alur login atau pendaftaran layanan Anda.
  3. Buat kode otorisasi untuk digunakan Google guna mengakses API Anda. Kode otorisasi dapat berupa nilai string apa pun, tetapi harus secara unik mewakili pengguna, klien yang menjadi tujuan token, dan masa berlaku kode waktu, dan itu tidak boleh ditebak. Anda biasanya memberikan otorisasi kode yang berakhir masa berlakunya setelah sekitar 10 menit.
  4. Konfirmasi bahwa URL yang ditentukan oleh parameter redirect_uri memiliki formulir berikut: 
      https://oauth-redirect.googleusercontent.com/r/YOUR_PROJECT_ID
  https://oauth-redirect-sandbox.googleusercontent.com/r/YOUR_PROJECT_ID
  5. Alihkan browser pengguna ke URL yang ditentukan oleh Parameter redirect_uri. Sertakan kode otorisasi yang baru saja dibuat dan nilai status asli yang tidak dimodifikasi saat Anda mengalihkan dengan menambahkan parameter code dan state. Berikut adalah contoh URL yang dihasilkan: 
    https://oauth-redirect.googleusercontent.com/r/YOUR_PROJECT_ID?code=AUTHORIZATION_CODE&state=STATE_STRING

Menangani permintaan pertukaran token

Endpoint pertukaran token layanan Anda bertanggung jawab atas dua jenis token pertukaran:

  • Tukar kode otorisasi dengan token akses dan token refresh
  • Menukarkan token refresh dengan token akses

Permintaan pertukaran token mencakup parameter berikut:

Parameter endpoint pertukaran token
client_id String yang mengidentifikasi asal permintaan sebagai Google. String ini harus terdaftar dalam sistem Anda sebagai pengenal unik Google.
client_secret String rahasia yang Anda daftarkan ke Google untuk layanan Anda.
grant_type Jenis token yang dipertukarkan. Bisa authorization_code atau refresh_token.
code Jika grant_type=authorization_code, parameter ini adalah kode yang diterima Google dari proses login atau pertukaran token Anda endpoint.
redirect_uri Jika grant_type=authorization_code, parameter ini adalah URL yang digunakan dalam permintaan otorisasi awal.
refresh_token Jika grant_type=refresh_token, parameter ini adalah token refresh yang diterima Google dari endpoint pertukaran token Anda.
Tukar kode otorisasi dengan token akses dan token refresh

Setelah pengguna login dan endpoint otorisasi Anda menampilkan histori kode otorisasi ke Google, Google mengirimkan permintaan ke pertukaran token endpoint untuk menukar kode otorisasi dengan token akses, sebelumnya yang benar.

Untuk permintaan ini, nilai grant_type adalah authorization_code, dan nilai code adalah nilai kode otorisasi yang sebelumnya Anda berikan ke Google. Berikut ini contoh permintaan untuk menukar kode otorisasi untuk token akses dan token refresh:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET&grant_type=authorization_code&code=AUTHORIZATION_CODE&redirect_uri=REDIRECT_URI

Untuk menukar kode otorisasi dengan token akses dan token refresh, endpoint pertukaran token merespons permintaan POST dengan menjalankan langkah:

  1. Pastikan bahwa client_id mengidentifikasi asal permintaan sebagai asal origin, dan bahwa client_secret cocok dengan nilai yang diharapkan.
  2. Verifikasi bahwa kode otorisasi valid dan masih berlaku, serta bahwa ID klien yang ditentukan dalam permintaan cocok dengan ID klien yang terkait dengan kode otorisasi Anda.
  3. Pastikan URL yang ditentukan oleh parameter redirect_uri sama dengan nilai yang digunakan dalam permintaan otorisasi awal.
  4. Jika Anda tidak dapat memverifikasi semua kriteria di atas, tampilkan permintaan HTTP Error 400 Bad Request dengan {"error": "invalid_grant"} sebagai isi.
  5. Jika tidak, gunakan ID pengguna dari kode otorisasi untuk membuat pembaruan dan token akses. Token ini dapat berupa nilai string apa pun, tetapi harus secara unik mewakili pengguna dan klien yang menjadi tujuan token, dan mereka harus tidak dapat ditebak. Untuk token akses, catat juga waktu kedaluwarsa token, yang biasanya satu jam setelah Anda menerbitkan token. Token refresh tidak memiliki tanggal habis masa berlaku.
  6. Tampilkan objek JSON berikut dalam isi respons HTTPS: 
    {
"token_type": "Bearer",
"access_token": "ACCESS_TOKEN",
"refresh_token": "REFRESH_TOKEN",
"expires_in": SECONDS_TO_EXPIRATION
}

Google menyimpan token akses dan token refresh untuk pengguna dan data akhir masa berlaku token akses. Saat token akses kedaluwarsa, Google akan menggunakan token refresh untuk mendapatkan token akses baru dari endpoint pertukaran token Anda.

Menukarkan token refresh dengan token akses

Saat masa berlaku token akses habis, Google akan mengirimkan permintaan ke pertukaran token Anda untuk menukar token refresh dengan token akses baru.

Untuk permintaan ini, nilai grant_type adalah refresh_token, dan nilai dari refresh_token adalah nilai token refresh yang sebelumnya Anda berikan Google. Berikut adalah contoh permintaan untuk menukar token refresh untuk token akses:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET&grant_type=refresh_token&refresh_token=REFRESH_TOKEN

Guna menukar token refresh dengan token akses, endpoint pertukaran token Anda merespons permintaan POST dengan menjalankan langkah-langkah berikut:

  1. Verifikasi bahwa client_id mengidentifikasi asal permintaan sebagai Google, dan bahwa client_secret cocok dengan nilai yang diharapkan.
  2. Pastikan token refresh valid, dan client ID yang ditentukan di permintaan cocok dengan client ID yang terkait dengan token refresh.
  3. Jika Anda tidak dapat memverifikasi semua kriteria di atas, tampilkan HTTP 400 Error Permintaan Buruk dengan {"error": "invalid_grant"} sebagai isi.
  4. Jika tidak, gunakan ID pengguna dari token refresh untuk membuat akses sebelumnya yang benar. Token ini dapat berupa nilai string apa pun, tetapi harus secara unik mewakili pengguna dan klien yang menjadi tujuan token, dan mereka tidak boleh dapat ditebak. Untuk token akses, catat juga waktu kedaluwarsa token, biasanya satu jam setelah Anda menerbitkan token.
  5. Tampilkan objek JSON berikut dalam isi HTTPS respons: 
    {
"token_type": "Bearer",
"access_token": "ACCESS_TOKEN",
"expiration_in": SECONDS_TO_EXPIRATION
}
Menangani permintaan info pengguna

Endpoint userinfo adalah resource yang dilindungi OAuth 2.0 yang menampilkan klaim tentang pengguna yang ditautkan. Menerapkan dan menghosting endpoint userinfo bersifat opsional, kecuali untuk kasus penggunaan berikut:

Setelah token akses berhasil diambil dari endpoint token Anda, Google akan mengirimkan permintaan ke endpoint userinfo Anda untuk mengambil informasi profil dasar tentang pengguna yang ditautkan.

header permintaan endpoint userinfo
Authorization header Token akses jenis Bearer.

Misalnya, jika endpoint userinfo Anda tersedia di https://myservice.example.com/userinfo, permintaan mungkin akan terlihat seperti berikut:

GET /userinfo HTTP/1.1
Host: myservice.example.com
Authorization: Bearer ACCESS_TOKEN

Agar endpoint userinfo Anda dapat menangani permintaan, lakukan langkah-langkah berikut:

  1. Ekstrak token akses dari header Otorisasi dan tampilkan informasi untuk pengguna yang terkait dengan token akses.
  2. Jika token akses tidak valid, tampilkan error HTTP 401 Tidak Sah dengan menggunakan Header Respons WWW-Authenticate. Berikut adalah contoh respons error userinfo: 
    HTTP/1.1 401 Unauthorized
WWW-Authenticate: error="invalid_token",
error_description="The Access Token expired"
    Jika pesan error 401 Tidak Sah, atau respons error lainnya yang tidak berhasil ditampilkan selama proses penautan, error tersebut tidak akan dapat dipulihkan, token yang diambil akan dihapus dan pengguna harus memulai proses penautan lagi.

  3. Jika token akses valid, tampilkan dan respons HTTP 200 dengan objek JSON berikut dalam isi HTTPS respons: 

    {
"sub": "USER_UUID",
"email": "EMAIL_ADDRESS",
"given_name": "FIRST_NAME",
"family_name": "LAST_NAME",
"name": "FULL_NAME",
"picture": "PROFILE_PICTURE",
}
     Jika endpoint userinfo Anda menampilkan respons sukses HTTP 200, token dan klaim yang diambil akan didaftarkan terhadap Akun Google pengguna.

    respons endpoint userinfo
    sub ID unik yang mengidentifikasi pengguna di sistem Anda.
    email Alamat email pengguna.
    given_name Opsional: Nama depan pengguna.
    family_name Opsional: Nama belakang pengguna.
    name Opsional: Nama lengkap pengguna.
    picture Opsional: Foto profil pengguna.

Memvalidasi implementasi

Anda dapat memvalidasi penerapan menggunakan alat OAuth 2.0 Playground.

Di alat ini, lakukan langkah-langkah berikut:

  1. Klik Configuration untuk membuka jendela OAuth 2.0 Configuration.
  2. Di kolom OAuth flow, pilih Client-side.
  3. Di kolom OAuth Endpoints, pilih Custom.
  4. Tentukan endpoint OAuth 2.0 dan client ID yang Anda tetapkan ke Google di kolom yang sesuai.
  5. Di bagian Langkah 1, jangan pilih cakupan Google apa pun. Sebagai gantinya, biarkan kolom ini kosong atau ketik cakupan yang valid untuk server Anda (atau string arbitrer jika Anda tidak menggunakan cakupan OAuth). Setelah selesai, klik Otorisasi API.
  6. Di bagian Langkah 2 dan Langkah 3, ikuti alur OAuth 2.0 dan verifikasi bahwa setiap langkah berfungsi sebagaimana mestinya.

Anda dapat memvalidasi penerapan menggunakan alat Demo Penautan Akun Google.

Di alat tersebut, lakukan langkah-langkah berikut:

  1. Klik tombol Login dengan Google.
  2. Pilih akun yang ingin ditautkan.
  3. Masukkan ID layanan.
  4. Secara opsional, masukkan satu atau beberapa cakupan yang akan Anda minta aksesnya.
  5. Klik Mulai Demo.
  6. Jika diminta, konfirmasi bahwa Anda dapat mengizinkan dan menolak permintaan penautan.
  7. Pastikan Anda dialihkan ke platform Anda.