پیوند ساده با OAuth و Google Sign-In

بررسی اجمالی

Google Sign-In مبتنی بر OAuth پیوند ساده ، Google Sign-In را در بالای پیوند OAuth اضافه می کند. این یک تجربه پیوند یکپارچه را برای کاربران Google فراهم می کند، و همچنین ایجاد حساب را فعال می کند، که به کاربر اجازه می دهد با استفاده از حساب Google خود یک حساب جدید در سرویس شما ایجاد کند.

برای انجام پیوند حساب با OAuth و Google Sign-In، این مراحل کلی را دنبال کنید:

1. ابتدا از کاربر بخواهید که رضایت خود را برای دسترسی به نمایه Google خود اعلام کند.
2. از اطلاعات موجود در نمایه آنها برای بررسی وجود حساب کاربری استفاده کنید.
3. برای کاربران موجود، حساب ها را پیوند دهید.
4. اگر نتوانستید مطابق با کاربر Google در سیستم احراز هویت خود پیدا کنید، رمز شناسه دریافتی از Google را تأیید کنید. سپس می توانید یک کاربر بر اساس اطلاعات نمایه موجود در رمز شناسه ایجاد کنید.

شکل 1 . پیوند دادن حساب در تلفن کاربر با پیوند ساده

الزامات برای پیوند ساده

• جریان اصلی پیوند OAuth وب را پیاده سازی کنید. سرویس شما باید از مجوزهای منطبق با OAuth 2.0 و نقاط پایانی تبادل توکن پشتیبانی کند.
• نقطه پایانی مبادله رمز شما باید از اظهارات JSON Web Token (JWT) پشتیبانی کند و check را اجرا کند، create ، و مقاصد get .

• شناسه مشتری Google API خود را ثبت کنید .

سرور OAuth خود را پیاده سازی کنید

نقطه پایانی مبادله رمز شما باید از check ، create ، get هدف پشتیبانی کند. در زیر مراحل تکمیل شده از طریق جریان پیوند حساب را نشان می دهد و نشان می دهد که چه زمانی مقاصد مختلف فراخوانی می شوند:

1. آیا کاربر در سیستم احراز هویت شما حساب کاربری دارد؟ (کاربر با انتخاب YES یا NO تصمیم می گیرد)
   1. بله : آیا کاربر از ایمیل مرتبط با حساب Google خود برای ورود به پلت فرم شما استفاده می کند؟ (کاربر با انتخاب YES یا NO تصمیم می گیرد)
      1. بله: آیا کاربر یک حساب منطبق در سیستم احراز هویت شما دارد؟ (برنامه check intent برای تایید فراخوانی می شود)
         1. بله: get intent فراخوانی می‌شود و اگر get intent با موفقیت برمی‌گردد، حساب پیوند داده می‌شود.
         2. نه: ایجاد حساب جدید؟ (کاربر با انتخاب YES یا NO تصمیم می گیرد)
            1. YES: create intent فراخوانی می شود و در صورت بازگشت موفقیت آمیز ایجاد intent، حساب پیوند داده می شود.
            2. خیر: جریان Web OAuth فعال می‌شود، کاربر به مرورگر خود هدایت می‌شود و به کاربر این امکان داده می‌شود که با ایمیل دیگری پیوند دهد.
      2. خیر: جریان Web OAuth فعال می‌شود، کاربر به مرورگر خود هدایت می‌شود و به کاربر این امکان داده می‌شود که با ایمیل دیگری پیوند دهد.
   2. خیر: آیا کاربر یک حساب منطبق در سیستم احراز هویت شما دارد؟ (برنامه check intent برای تایید فراخوانی می شود)
      1. بله: get intent فراخوانی می‌شود و اگر get intent با موفقیت برمی‌گردد، حساب پیوند داده می‌شود.
      2. خیر: create intent فراخوانی می شود و در صورت بازگشت موفقیت آمیز ایجاد intent، حساب پیوند داده می شود.

حساب کاربری موجود را بررسی کنید (نیت را بررسی کنید)

پس از رضایت کاربر برای دسترسی به نمایه Google خود، Google درخواستی را ارسال می کند که حاوی تأییدیه امضا شده هویت کاربر Google است. این ادعا حاوی اطلاعاتی است که شامل شناسه حساب Google، نام و آدرس ایمیل کاربر است. نقطه پایانی تبادل توکن که برای پروژه شما پیکربندی شده است، آن درخواست را مدیریت می کند.

اگر حساب Google مربوطه از قبل در سیستم احراز هویت شما وجود داشته باشد، نقطه پایانی مبادله رمز شما با account_found=true پاسخ می‌دهد. اگر حساب Google با کاربر موجود مطابقت نداشته باشد، نقطه پایانی تبادل رمز شما یک خطای HTTP 404 Not Found با account_found=false را برمی‌گرداند.

درخواست دارای فرم زیر است:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&intent=check&assertion=JWT&scope=SCOPES&client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET

نقطه پایانی تبادل توکن شما باید بتواند پارامترهای زیر را مدیریت کند:

پارامترهای نقطه پایانی رمز
intent	برای این درخواست ها، مقدار این پارامتر check می شود.
grant_type	نوع توکن رد و بدل شده برای این درخواست‌ها، این پارامتر دارای مقدار urn:ietf:params:oauth:grant-type:jwt-bearer است.
assertion	یک نشانه وب JSON (JWT) که تأیید امضا شده ای از هویت کاربر Google ارائه می دهد. JWT حاوی اطلاعاتی است که شامل شناسه حساب Google، نام و آدرس ایمیل کاربر است.
client_id	شناسه مشتری که به Google اختصاص داده اید.
client_secret	راز مشتری که به Google اختصاص داده اید.

برای پاسخ به درخواست‌های قصد check ، نقطه پایانی مبادله رمز شما باید مراحل زیر را انجام دهد:

• تایید و رمزگشایی ادعای JWT.
• بررسی کنید که آیا حساب Google از قبل در سیستم احراز هویت شما وجود دارد یا خیر.

تأیید و رمزگشایی ادعای JWT

با استفاده از کتابخانه رمزگشایی JWT برای زبان خود می توانید ادعای JWT را تأیید و رمزگشایی کنید . برای تأیید امضای رمز ، از کلیدهای عمومی Google که در قالب های JWK یا PEM موجود است ، استفاده کنید.

هنگام رمزگشایی ، ادعای JWT مانند مثال زیر است:

{
  "sub": "1234567890",      // The unique ID of the user's Google Account
  "iss": "https://accounts.google.com",        // The assertion's issuer
  "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID
  "iat": 233366400,         // Unix timestamp of the assertion's creation time
  "exp": 233370000,         // Unix timestamp of the assertion's expiration time
  "name": "Jan Jansen",
  "given_name": "Jan",
  "family_name": "Jansen",
  "email": "jan@gmail.com", // If present, the user's email address
  "email_verified": true,   // true, if Google has verified the email address
  "hd": "example.com",      // If present, the host domain of the user's GSuite email address
                            // If present, a URL to user's profile picture
  "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ",
  "locale": "en_US"         // User's locale, from browser or phone settings
}

علاوه بر تایید امضای این نشانه رمز است، بررسی کنید که صادر کننده این ادعا است ( iss زمینه) است https://accounts.google.com ، که مخاطب ( aud زمینه) اختصاص ID مشتری شما است، و این که رمز او تمام نشده است ( exp رشته).

با استفاده از زمینه های email ، email_verified و hd می توانید تعیین کنید که آیا گوگل میزبان آدرس معتبر است یا خیر. در مواردی که Google معتبر باشد ، کاربر در حال حاضر به عنوان مالک قانونی حساب شناخته شده است و شما می توانید رمز عبور یا سایر روش های چالش را حذف کنید. در غیر این صورت ، می توان از این روش ها برای تأیید حساب قبل از پیوند استفاده کرد.

موارد معتبر Google:

• email دارای پسوند @gmail.com ، این یک حساب Gmail است.
• email_verified درست است و hd تنظیم شده است ، این یک حساب G Suite است.

کاربران می توانند بدون استفاده از Gmail یا G Suite در حساب های Google ثبت نام کنند. وقتی email حاوی پسوند @gmail.com و hd وجود ندارد Google معتبر نیست و رمز عبور یا سایر روشهای چالش برای تأیید کاربر توصیه می شود. email_verfied همچنین می تواند درست باشد زیرا گوگل در ابتدا هنگام ایجاد حساب Google کاربر را تأیید می کند ، اما ممکن است مالکیت حساب ایمیل شخص ثالث از آن زمان تغییر کرده باشد.

بررسی کنید که آیا حساب Google از قبل در سیستم احراز هویت شما وجود دارد یا خیر

بررسی کنید که آیا یکی از شرایط زیر درست است یا خیر:

• شناسه حساب Google که در قسمت sub ادعا یافت می‌شود، در پایگاه داده کاربر شما قرار دارد.
• آدرس ایمیل در ادعا با کاربر در پایگاه داده کاربر شما مطابقت دارد.

اگر هر یک از شرایط صحیح باشد، کاربر قبلاً ثبت نام کرده است. در این صورت، پاسخی مانند زیر را برگردانید:

HTTP/1.1 200 Success
Content-Type: application/json;charset=UTF-8

{
  "account_found":"true",
}

اگر نه شناسه حساب Google و نه آدرس ایمیل مشخص شده در ادعا با کاربر موجود در پایگاه داده شما مطابقت ندارد، کاربر هنوز ثبت نام نکرده است. در این مورد، نقطه پایانی تبادل توکن شما باید با یک خطای HTTP 404 پاسخ دهد که "account_found": "false" ، مانند مثال زیر:

HTTP/1.1 404 Not found
Content-Type: application/json;charset=UTF-8

{
  "account_found":"false",
}

处理自动链接（获取 intent）

在用户同意访问其 Google 个人资料后，Google 会发送一个请求，其中包含 Google 用户身份的签名断言。该断言包含用户的 Google 帐号 ID、姓名和电子邮件地址。为您的项目配置的令牌交换端点会处理该请求。

如果您的身份验证系统中已存在相应的 Google 帐号，则您的令牌交换端点会返回用户的令牌。如果 Google 帐号与现有用户不匹配，您的令牌交换端点会返回 linking_error 错误和可选的 login_hint。

请求的格式如下：

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&intent=get&assertion=JWT&scope=SCOPES&client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET

您的令牌交换端点必须能够处理以下参数：

令牌端点参数
intent	对于这些请求，此参数的值为 get。
grant_type	要交换的令牌的类型。对于这些请求，此参数的值为 urn:ietf:params:oauth:grant-type:jwt-bearer。
assertion	一个 JSON Web 令牌 (JWT)，用于提供 Google 用户身份的签名断言。JWT 包含用户的 Google 帐号 ID、姓名和电子邮件地址等信息。
scope	可选：您已将 Google 配置为向用户请求的任何范围。
client_id	您分配给 Google 的客户端 ID。
client_secret	您分配给 Google 的客户端密钥。

为了响应 get intent 请求，您的令牌交换端点必须执行以下步骤：

• 验证并解码 JWT 断言。
• 检查您的身份验证系统中是否已存在该 Google 帐号。

تأیید و رمزگشایی ادعای JWT

با استفاده از کتابخانه رمزگشایی JWT برای زبان خود می توانید ادعای JWT را تأیید و رمزگشایی کنید . برای تأیید امضای رمز ، از کلیدهای عمومی Google که در قالب های JWK یا PEM موجود است ، استفاده کنید.

هنگام رمزگشایی ، ادعای JWT مانند مثال زیر است:

{
  "sub": "1234567890",      // The unique ID of the user's Google Account
  "iss": "https://accounts.google.com",        // The assertion's issuer
  "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID
  "iat": 233366400,         // Unix timestamp of the assertion's creation time
  "exp": 233370000,         // Unix timestamp of the assertion's expiration time
  "name": "Jan Jansen",
  "given_name": "Jan",
  "family_name": "Jansen",
  "email": "jan@gmail.com", // If present, the user's email address
  "email_verified": true,   // true, if Google has verified the email address
  "hd": "example.com",      // If present, the host domain of the user's GSuite email address
                            // If present, a URL to user's profile picture
  "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ",
  "locale": "en_US"         // User's locale, from browser or phone settings
}

علاوه بر تایید امضای این نشانه رمز است، بررسی کنید که صادر کننده این ادعا است ( iss زمینه) است https://accounts.google.com ، که مخاطب ( aud زمینه) اختصاص ID مشتری شما است، و این که رمز او تمام نشده است ( exp رشته).

با استفاده از زمینه های email ، email_verified و hd می توانید تعیین کنید که آیا گوگل میزبان آدرس معتبر است یا خیر. در مواردی که Google معتبر باشد ، کاربر در حال حاضر به عنوان مالک قانونی حساب شناخته شده است و شما می توانید رمز عبور یا سایر روش های چالش را حذف کنید. در غیر این صورت ، می توان از این روش ها برای تأیید حساب قبل از پیوند استفاده کرد.

موارد معتبر Google:

• email دارای پسوند @gmail.com ، این یک حساب Gmail است.
• email_verified درست است و hd تنظیم شده است ، این یک حساب G Suite است.

کاربران می توانند بدون استفاده از Gmail یا G Suite در حساب های Google ثبت نام کنند. وقتی email حاوی پسوند @gmail.com و hd وجود ندارد Google معتبر نیست و رمز عبور یا سایر روشهای چالش برای تأیید کاربر توصیه می شود. email_verfied همچنین می تواند درست باشد زیرا گوگل در ابتدا هنگام ایجاد حساب Google کاربر را تأیید می کند ، اما ممکن است مالکیت حساب ایمیل شخص ثالث از آن زمان تغییر کرده باشد.

检查您的身份验证系统中是否已存在该 Google 帐号

检查是否满足以下任一条件：

• Google 帐号 ID 可在用户的数据库中找到，可在断言的 sub 字段找到。
• 断言中的电子邮件地址与您的用户数据库中的用户匹配。

如果找到了用户的帐号，请发出访问令牌，并在 HTTPS 响应的正文中以 JSON 对象形式返回值，如以下示例所示：

{
  "token_type": "Bearer",
  "access_token": "ACCESS_TOKEN",

  "expires_in": SECONDS_TO_EXPIRATION
}

在某些情况下，基于 ID 令牌的帐号关联可能会为用户失败。如果出现任何此类情况，您的令牌交换端点都需要使用返回 error=linking_error 的 HTTP 401 错误进行响应，如以下示例所示：

HTTP/1.1 401 Unauthorized
Content-Type: application/json;charset=UTF-8

{
  "error":"linking_error",
  "login_hint":"foo@bar.com"
}

Google 收到包含 linking_error 的 401 错误响应后，会将用户作为授权参数 login_hint 发送到您的授权端点。用户在浏览器中使用 OAuth 关联流程完成帐号关联。

Handle account creation via Google Sign-In (create intent)

When a user needs to create an account on your service, Google makes a request to your token exchange endpoint that specifies intent=create.

The request has the following form:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

response_type=token&grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&scope=SCOPES&intent=create&assertion=JWT&client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET

Your token exchange endpoint must able to handle the following parameters:

Token endpoint parameters
intent	For these requests, the value of this parameter is create.
grant_type	The type of token being exchanged. For these requests, this parameter has the value urn:ietf:params:oauth:grant-type:jwt-bearer.
assertion	A JSON Web Token (JWT) that provides a signed assertion of the Google user's identity. The JWT contains information that includes the user's Google Account ID, name, and email address.
client_id	The client ID you assigned to Google.
client_secret	The client secret you assigned to Google.

The JWT within the assertion parameter contains the user's Google Account ID, name, and email address, which you can use to create a new account on your service.

To respond to the create intent requests, your token exchange endpoint must perform the following steps:

• Validate and decode the JWT assertion.
• Validate user information and create new account.

تأیید و رمزگشایی ادعای JWT

با استفاده از کتابخانه رمزگشایی JWT برای زبان خود می توانید ادعای JWT را تأیید و رمزگشایی کنید . برای تأیید امضای رمز ، از کلیدهای عمومی Google که در قالب های JWK یا PEM موجود است ، استفاده کنید.

هنگام رمزگشایی ، ادعای JWT مانند مثال زیر است:

{
  "sub": "1234567890",      // The unique ID of the user's Google Account
  "iss": "https://accounts.google.com",        // The assertion's issuer
  "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID
  "iat": 233366400,         // Unix timestamp of the assertion's creation time
  "exp": 233370000,         // Unix timestamp of the assertion's expiration time
  "name": "Jan Jansen",
  "given_name": "Jan",
  "family_name": "Jansen",
  "email": "jan@gmail.com", // If present, the user's email address
  "email_verified": true,   // true, if Google has verified the email address
  "hd": "example.com",      // If present, the host domain of the user's GSuite email address
                            // If present, a URL to user's profile picture
  "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ",
  "locale": "en_US"         // User's locale, from browser or phone settings
}

علاوه بر تایید امضای این نشانه رمز است، بررسی کنید که صادر کننده این ادعا است ( iss زمینه) است https://accounts.google.com ، که مخاطب ( aud زمینه) اختصاص ID مشتری شما است، و این که رمز او تمام نشده است ( exp رشته).

با استفاده از زمینه های email ، email_verified و hd می توانید تعیین کنید که آیا گوگل میزبان آدرس معتبر است یا خیر. در مواردی که Google معتبر باشد ، کاربر در حال حاضر به عنوان مالک قانونی حساب شناخته شده است و شما می توانید رمز عبور یا سایر روش های چالش را حذف کنید. در غیر این صورت ، می توان از این روش ها برای تأیید حساب قبل از پیوند استفاده کرد.

موارد معتبر Google:

• email دارای پسوند @gmail.com ، این یک حساب Gmail است.
• email_verified درست است و hd تنظیم شده است ، این یک حساب G Suite است.

کاربران می توانند بدون استفاده از Gmail یا G Suite در حساب های Google ثبت نام کنند. وقتی email حاوی پسوند @gmail.com و hd وجود ندارد Google معتبر نیست و رمز عبور یا سایر روشهای چالش برای تأیید کاربر توصیه می شود. email_verfied همچنین می تواند درست باشد زیرا گوگل در ابتدا هنگام ایجاد حساب Google کاربر را تأیید می کند ، اما ممکن است مالکیت حساب ایمیل شخص ثالث از آن زمان تغییر کرده باشد.

Validate user information and create new account

Check whether either of the following conditions are true:

• The Google Account ID, found in the assertion's sub field, is in your user database.
• The email address in the assertion matches a user in your user database.

If either condition is true, prompt the user to link their existing account with their Google Account. To do so, respond to the request with an HTTP 401 error that specifies error=linking_error and gives the user's email address as the login_hint. The following is a sample response:

HTTP/1.1 401 Unauthorized
Content-Type: application/json;charset=UTF-8

{
  "error":"linking_error",
  "login_hint":"foo@bar.com"
}

When Google receives a 401 error response with linking_error, Google sends the user to your authorization endpoint with login_hint as a parameter. The user completes account linking using the OAuth linking flow in their browser.

If neither condition is true, create a new user account with the information provided in the JWT. New accounts don't typically have a password set. It's recommended that you add Google Sign-In to other platforms to enable users to log in with Google across the surfaces of your application. Alternatively, you can email the user a link that starts your password recovery flow to allow the user to set a password to sign in on other platforms.

When the creation is completed, issue an access token and return the values in a JSON object in the body of your HTTPS response, like in the following example:

{
  "token_type": "Bearer",
  "access_token": "ACCESS_TOKEN",

  "expires_in": SECONDS_TO_EXPIRATION
}

Google API Client ID خود را دریافت کنید

در طول فرآیند ثبت نام پیوند حساب، باید شناسه مشتری Google API خود را ارائه دهید.

برای دریافت شناسه مشتری API خود با استفاده از پروژه ای که هنگام تکمیل مراحل OAuth Linking ایجاد کرده اید. برای این کار مراحل زیر را انجام دهید:

1. صفحه اعتبارنامه کنسول Google API را باز کنید.

2. یک پروژه Google APIs ایجاد یا انتخاب کنید.

   اگر پروژه شما شناسه مشتری برای نوع برنامه وب ندارد، روی Create credentials > OAuth Client ID کلیک کنید تا یکی ایجاد شود. مطمئن شوید که دامنه سایت خود را در کادر مبداهای مجاز جاوا اسکریپت قرار دهید. هنگامی که آزمایش‌های محلی یا توسعه را انجام می‌دهید، باید هر دو http://localhost و http://localhost:<port_number> را به قسمت Authorized JavaScript origins اضافه کنید.

اعتبار بخشیدن به اجرای شما

You can validate your implementation by using the OAuth 2.0 Playground tool.

In the tool, do the following steps:

1. Click Configuration settings to open the OAuth 2.0 Configuration window.
2. In the OAuth flow field, select Client-side.
3. In the OAuth Endpoints field, select Custom.
4. Specify your OAuth 2.0 endpoint and the client ID you assigned to Google in the corresponding fields.
5. In the Step 1 section, don't select any Google scopes. Instead, leave this field blank or type a scope valid for your server (or an arbitrary string if you don't use OAuth scopes). When you're done, click Authorize APIs.
6. In the Step 2 and Step 3 sections, go through the OAuth 2.0 flow and verify that each step works as intended.

You can validate your implementation by using the Google Account Linking Demo tool.

In the tool, do the following steps:

1. Click the Sign-in with Google button.
2. Choose the account you'd like to link.
3. Enter the service ID.
4. Optionally enter one or more scopes that you will request access for.
5. Click Start Demo.
6. When prompted, confirm that you may consent and deny the linking request.
7. Confirm that you are redirected to your platform.