Đơn giản hoá việc liên kết với OAuth và tính năng Đăng nhập bằng Google

Tổng quan

Tính năng Liên kết đơn giản hoá Đăng nhập bằng Google dựa trên OAuth sẽ thêm tính năng Đăng nhập bằng Google vào bên trên tính năng liên kết OAuth. Điều này mang lại trải nghiệm liên kết liền mạch cho người dùng Google, đồng thời cho phép tạo tài khoản, nhờ đó người dùng có thể tạo tài khoản mới trên dịch vụ của bạn bằng Tài khoản Google của họ.

Để liên kết tài khoản bằng OAuth và tính năng Đăng nhập bằng Google, hãy làm theo các bước chung sau:

  1. Trước tiên, hãy yêu cầu người dùng đồng ý truy cập vào hồ sơ Google của họ.
  2. Sử dụng thông tin trong hồ sơ của họ để kiểm tra xem tài khoản người dùng có tồn tại hay không.
  3. Đối với người dùng hiện tại, hãy liên kết các tài khoản.
  4. Nếu bạn không tìm thấy kết quả trùng khớp cho người dùng Google trong hệ thống xác thực, hãy xác thực mã thông báo nhận dạng nhận được từ Google. Sau đó, bạn có thể tạo người dùng dựa trên thông tin hồ sơ có trong mã thông báo nhận dạng.
Hình này cho thấy các bước để người dùng liên kết Tài khoản Google của họ bằng quy trình liên kết được tinh giản. Ảnh chụp màn hình đầu tiên cho thấy cách người dùng có thể chọn ứng dụng của bạn để liên kết. Ảnh chụp màn hình thứ hai cho phép người dùng xác nhận xem họ có tài khoản hiện tại trên dịch vụ của bạn hay không. Ảnh chụp màn hình thứ ba cho phép người dùng chọn Tài khoản Google mà họ muốn liên kết. Ảnh chụp màn hình thứ tư cho thấy thông báo xác nhận liên kết Tài khoản Google của người dùng với ứng dụng của bạn. Ảnh chụp màn hình thứ năm cho thấy tài khoản người dùng đã được liên kết thành công trong ứng dụng Google.

Hình 1 Liên kết tài khoản trên điện thoại của người dùng bằng tính năng Liên kết đơn giản

Yêu cầu đối với tính năng Liên kết đơn giản

Triển khai máy chủ OAuth

Điểm cuối giao dịch mã thông báo phải hỗ trợ các ý định check, create, get. Phần dưới đây cho thấy các bước đã hoàn tất thông qua quy trình liên kết tài khoản và cho biết thời điểm các ý định khác nhau được gọi:

  1. Người dùng có tài khoản trong hệ thống xác thực của bạn không? (Người dùng quyết định bằng cách chọn CÓ hoặc KHÔNG)
    1. CÓ : Người dùng có sử dụng email liên kết với Tài khoản Google của họ để đăng nhập vào nền tảng của bạn không? (Người dùng quyết định bằng cách chọn CÓ hoặc KHÔNG)
      1. CÓ : Người dùng có tài khoản khớp trong hệ thống xác thực của bạn không? (check intent được gọi để xác nhận)
        1. CÓ : get intent được gọi và tài khoản được liên kết nếu get intent trả về thành công.
        2. KHÔNG : Tạo tài khoản mới? (Người dùng quyết định bằng cách chọn CÓ hoặc KHÔNG)
          1. CÓ : create intent được gọi và tài khoản được liên kết nếu ý định tạo trả về thành công.
          2. KHÔNG : Quy trình OAuth trên web được kích hoạt, người dùng được chuyển hướng đến trình duyệt và có thể chọn liên kết với một email khác.
      2. KHÔNG : Luồng OAuth trên web được kích hoạt, người dùng được chuyển hướng đến trình duyệt và có thể chọn liên kết với một email khác.
    2. KHÔNG : Người dùng có tài khoản khớp trong hệ thống xác thực của bạn không? (check intent được gọi để xác nhận)
      1. CÓ : get intent được gọi và tài khoản được liên kết nếu get intent trả về thành công.
      2. KHÔNG : create intent được gọi và tài khoản được liên kết nếu ý định tạo trả về thành công.

Kiểm tra tài khoản người dùng hiện có (kiểm tra ý định)

Sau khi người dùng đồng ý truy cập vào hồ sơ trên Google của họ, Google sẽ gửi yêu cầu chứa xác nhận có chữ ký về danh tính của người dùng Google. Chiến lược phát hành đĩa đơn xác nhận chứa thông tin bao gồm ID Tài khoản Google của người dùng, tên và địa chỉ email của bạn. Điểm cuối trao đổi mã thông báo được định cấu hình cho dự án sẽ xử lý yêu cầu đó.

Nếu đã có Tài khoản Google tương ứng trong quá trình xác thực hệ thống, điểm cuối trao đổi mã thông báo của bạn sẽ phản hồi bằng account_found=true. Nếu Tài khoản Google không khớp với người dùng hiện có, điểm cuối trao đổi mã thông báo của bạn trả về lỗi HTTP 404 Not found (Không tìm thấy) với account_found=false.

Yêu cầu có biểu mẫu sau:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&intent=check&assertion=JWT&scope=SCOPES&client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET

Điểm cuối trao đổi mã thông báo của bạn phải có khả năng xử lý các tham số sau:

Tham số điểm cuối của mã thông báo
intent Đối với các yêu cầu này, giá trị của thông số này là check.
grant_type Loại mã thông báo đang được trao đổi. Đối với các yêu cầu này, tham số có giá trị urn:ietf:params:oauth:grant-type:jwt-bearer.
assertion Mã thông báo web JSON (JWT) cung cấp xác nhận có chữ ký của Google danh tính của người dùng. JWT chứa thông tin bao gồm Mã Tài khoản Google, tên và địa chỉ email.
client_id Mã ứng dụng khách mà bạn đã chỉ định cho Google.
client_secret Mật khẩu ứng dụng khách mà bạn đã chỉ định cho Google.

Để phản hồi các yêu cầu về ý định check, điểm cuối trao đổi mã thông báo phải thực hiện các bước sau:

  • Xác thực và giải mã câu nhận định JWT.
  • Kiểm tra xem Tài khoản Google đã có trong hệ thống xác thực của bạn hay chưa.
Xác thực và giải mã câu nhận định JWT

Bạn có thể xác thực và giải mã câu nhận định JWT bằng cách sử dụng Thư viện giải mã JWT cho ngôn ngữ của bạn. Sử dụng Khoá công khai của Google, có trong JWK hoặc Định dạng PEM để xác minh chữ ký của mã thông báo.

Khi được giải mã, câu nhận định JWT sẽ có dạng như ví dụ sau: 

{
  "sub": "1234567890",      // The unique ID of the user's Google Account
  "iss": "https://accounts.google.com",        // The assertion's issuer
  "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID
  "iat": 233366400,         // Unix timestamp of the assertion's creation time
  "exp": 233370000,         // Unix timestamp of the assertion's expiration time
  "name": "Jan Jansen",
  "given_name": "Jan",
  "family_name": "Jansen",
  "email": "jan@gmail.com", // If present, the user's email address
  "email_verified": true,   // true, if Google has verified the email address
  "hd": "example.com",      // If present, the host domain of the user's GSuite email address
                            // If present, a URL to user's profile picture
  "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ",
  "locale": "en_US"         // User's locale, from browser or phone settings
}

Ngoài việc xác minh chữ ký của mã thông báo, hãy xác minh rằng câu lệnh công ty phát hành (trường iss) là https://accounts.google.com, mà đối tượng (trường aud) là mã ứng dụng khách được chỉ định và mã thông báo chưa hết hạn (trường exp).

Bằng cách sử dụng các trường email, email_verifiedhd, bạn có thể xác định xem Google lưu trữ và có thẩm quyền đối với một địa chỉ email. Trong trường hợp Google có thẩm quyền mà người dùng hiện được biết là chủ sở hữu tài khoản hợp pháp và bạn có thể bỏ qua mật khẩu hoặc các phương thức xác thực khác. Nếu không, các phương thức này có thể dùng để xác minh tài khoản trước khi liên kết.

Những trường hợp mà Google có thẩm quyền:

  • email có hậu tố @gmail.com, đây là một tài khoản Gmail.
  • email_verified là đúng và hd đã được đặt, đây là tài khoản G Suite.

Người dùng có thể đăng ký Tài khoản Google mà không cần sử dụng Gmail hoặc G Suite. Thời gian email không chứa hậu tố @gmail.comhd không có Google thì không xác thực và sử dụng mật khẩu hoặc các phương pháp xác thực khác để xác minh người dùng. email_verified cũng có thể đúng vì ban đầu Google đã xác minh người dùng khi tài khoản Google được tạo, tuy nhiên quyền sở hữu đối với bên thứ ba tài khoản email có thể đã thay đổi.

Kiểm tra xem Tài khoản Google đã có trong hệ thống xác thực của bạn hay chưa

Kiểm tra xem một trong các điều kiện sau có đúng hay không:

  • Mã Tài khoản Google (trong trường sub của câu nhận định) nằm trong tài khoản người dùng của bạn cơ sở dữ liệu.
  • Địa chỉ email trong câu nhận định khớp với một người dùng trong cơ sở dữ liệu người dùng của bạn.

Nếu một trong hai điều kiện đúng, thì người dùng đã đăng ký. Trong trường hợp đó, trả về phản hồi như sau:

HTTP/1.1 200 Success
Content-Type: application/json;charset=UTF-8

{
  "account_found":"true",
}

Nếu cả mã Tài khoản Google và địa chỉ email được chỉ định trong khớp với người dùng trong cơ sở dữ liệu của bạn, người dùng chưa đăng ký. Trong trong trường hợp này, điểm cuối trao đổi mã thông báo của bạn cần phải trả lời bằng lỗi HTTP 404 chỉ định "account_found": "false", như trong ví dụ sau:

HTTP/1.1 404 Not found
Content-Type: application/json;charset=UTF-8

{
  "account_found":"false",
}

Handle automatic linking (get intent)

After the user gives consent to access their Google profile, Google sends a request that contains a signed assertion of the Google user's identity. The assertion contains information that includes the user's Google Account ID, name, and email address. The token exchange endpoint configured for your project handles that request.

If the corresponding Google Account is already present in your authentication system, your token exchange endpoint returns a token for the user. If the Google Account doesn't match an existing user, your token exchange endpoint returns a linking_error error and optional login_hint.

The request has the following form:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&intent=get&assertion=JWT&scope=SCOPES&client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET

Your token exchange endpoint must be able to handle the following parameters:

Token endpoint parameters
intent For these requests, the value of this parameter is get.
grant_type The type of token being exchanged. For these requests, this parameter has the value urn:ietf:params:oauth:grant-type:jwt-bearer.
assertion A JSON Web Token (JWT) that provides a signed assertion of the Google user's identity. The JWT contains information that includes the user's Google Account ID, name, and email address.
scope Optional: Any scopes that you've configured Google to request from users.
client_id The client ID you assigned to Google.
client_secret The client secret you assigned to Google.

To respond to the get intent requests, your token exchange endpoint must perform the following steps:

  • Validate and decode the JWT assertion.
  • Check if the Google account is already present in your authentication system.
Xác thực và giải mã câu nhận định JWT

Bạn có thể xác thực và giải mã câu nhận định JWT bằng cách sử dụng Thư viện giải mã JWT cho ngôn ngữ của bạn. Sử dụng Khoá công khai của Google, có trong JWK hoặc Định dạng PEM để xác minh chữ ký của mã thông báo.

Khi được giải mã, câu nhận định JWT sẽ có dạng như ví dụ sau: 

{
  "sub": "1234567890",      // The unique ID of the user's Google Account
  "iss": "https://accounts.google.com",        // The assertion's issuer
  "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID
  "iat": 233366400,         // Unix timestamp of the assertion's creation time
  "exp": 233370000,         // Unix timestamp of the assertion's expiration time
  "name": "Jan Jansen",
  "given_name": "Jan",
  "family_name": "Jansen",
  "email": "jan@gmail.com", // If present, the user's email address
  "email_verified": true,   // true, if Google has verified the email address
  "hd": "example.com",      // If present, the host domain of the user's GSuite email address
                            // If present, a URL to user's profile picture
  "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ",
  "locale": "en_US"         // User's locale, from browser or phone settings
}

Ngoài việc xác minh chữ ký của mã thông báo, hãy xác minh rằng câu lệnh công ty phát hành (trường iss) là https://accounts.google.com, mà đối tượng (trường aud) là mã ứng dụng khách được chỉ định và mã thông báo chưa hết hạn (trường exp).

Bằng cách sử dụng các trường email, email_verifiedhd, bạn có thể xác định xem Google lưu trữ và có thẩm quyền đối với một địa chỉ email. Trong trường hợp Google có thẩm quyền mà người dùng hiện được biết là chủ sở hữu tài khoản hợp pháp và bạn có thể bỏ qua mật khẩu hoặc các phương thức xác thực khác. Nếu không, các phương thức này có thể dùng để xác minh tài khoản trước khi liên kết.

Những trường hợp mà Google có thẩm quyền:

  • email có hậu tố @gmail.com, đây là một tài khoản Gmail.
  • email_verified là đúng và hd đã được đặt, đây là tài khoản G Suite.

Người dùng có thể đăng ký Tài khoản Google mà không cần sử dụng Gmail hoặc G Suite. Thời gian email không chứa hậu tố @gmail.comhd không có Google thì không xác thực và sử dụng mật khẩu hoặc các phương pháp xác thực khác để xác minh người dùng. email_verified cũng có thể đúng vì ban đầu Google đã xác minh người dùng khi tài khoản Google được tạo, tuy nhiên quyền sở hữu đối với bên thứ ba tài khoản email có thể đã thay đổi.

Check if the Google account is already present in your authentication system

Check whether either of the following conditions are true:

  • The Google Account ID, found in the assertion's sub field, is in your user database.
  • The email address in the assertion matches a user in your user database.

If an account is found for the user, issue an access token and return the values in a JSON object in the body of your HTTPS response, like in the following example: 

{
  "token_type": "Bearer",
  "access_token": "ACCESS_TOKEN",
  "refresh_token": "REFRESH_TOKEN",
  "expires_in": SECONDS_TO_EXPIRATION
}

In some cases, account linking based on ID token might fail for the user. If it does so for any reason, your token exchange endpoint needs to reply with a HTTP 401 error that specifies error=linking_error, as the following example shows:

HTTP/1.1 401 Unauthorized
Content-Type: application/json;charset=UTF-8

{
  "error":"linking_error",
  "login_hint":"foo@bar.com"
}

When Google receives a 401 error response with linking_error, Google sends the user to your authorization endpoint with login_hint as a parameter. The user completes account linking using the OAuth linking flow in their browser.

Xử lý việc tạo tài khoản thông qua tính năng Đăng nhập bằng Google (tạo ý định)

Khi người dùng cần tạo một tài khoản trên dịch vụ của bạn, Google sẽ đưa ra yêu cầu đến điểm cuối trao đổi mã thông báo chỉ định intent=create.

Yêu cầu có biểu mẫu sau:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

response_type=token&grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&scope=SCOPES&intent=create&assertion=JWT&client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET

Điểm cuối trao đổi mã thông báo của bạn phải có khả năng xử lý các tham số sau:

Tham số điểm cuối của mã thông báo
intent Đối với các yêu cầu này, giá trị của tham số này là create.
grant_type Loại mã thông báo đang được trao đổi. Đối với các yêu cầu này, tham số có giá trị urn:ietf:params:oauth:grant-type:jwt-bearer.
assertion Mã thông báo web JSON (JWT) cung cấp xác nhận có chữ ký của Google danh tính của người dùng. JWT chứa thông tin bao gồm Mã Tài khoản Google, tên và địa chỉ email.
client_id Mã ứng dụng khách mà bạn đã chỉ định cho Google.
client_secret Mật khẩu ứng dụng khách mà bạn đã chỉ định cho Google.

JWT trong tham số assertion chứa ID Tài khoản Google của người dùng, tên và địa chỉ email mà bạn có thể sử dụng để tạo tài khoản mới trên .

Để phản hồi các yêu cầu về ý định create, điểm cuối trao đổi mã thông báo phải thực hiện các bước sau:

  • Xác thực và giải mã câu nhận định JWT.
  • Xác thực thông tin người dùng và tạo tài khoản mới.
Xác thực và giải mã câu nhận định JWT

Bạn có thể xác thực và giải mã câu nhận định JWT bằng cách sử dụng Thư viện giải mã JWT cho ngôn ngữ của bạn. Sử dụng Khoá công khai của Google, có trong JWK hoặc Định dạng PEM để xác minh chữ ký của mã thông báo.

Khi được giải mã, câu nhận định JWT sẽ có dạng như ví dụ sau: 

{
  "sub": "1234567890",      // The unique ID of the user's Google Account
  "iss": "https://accounts.google.com",        // The assertion's issuer
  "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID
  "iat": 233366400,         // Unix timestamp of the assertion's creation time
  "exp": 233370000,         // Unix timestamp of the assertion's expiration time
  "name": "Jan Jansen",
  "given_name": "Jan",
  "family_name": "Jansen",
  "email": "jan@gmail.com", // If present, the user's email address
  "email_verified": true,   // true, if Google has verified the email address
  "hd": "example.com",      // If present, the host domain of the user's GSuite email address
                            // If present, a URL to user's profile picture
  "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ",
  "locale": "en_US"         // User's locale, from browser or phone settings
}

Ngoài việc xác minh chữ ký của mã thông báo, hãy xác minh rằng câu lệnh công ty phát hành (trường iss) là https://accounts.google.com, mà đối tượng (trường aud) là mã ứng dụng khách được chỉ định và mã thông báo chưa hết hạn (trường exp).

Bằng cách sử dụng các trường email, email_verifiedhd, bạn có thể xác định xem Google lưu trữ và có thẩm quyền đối với một địa chỉ email. Trong trường hợp Google có thẩm quyền mà người dùng hiện được biết là chủ sở hữu tài khoản hợp pháp và bạn có thể bỏ qua mật khẩu hoặc các phương thức xác thực khác. Nếu không, các phương thức này có thể dùng để xác minh tài khoản trước khi liên kết.

Những trường hợp mà Google có thẩm quyền:

  • email có hậu tố @gmail.com, đây là một tài khoản Gmail.
  • email_verified là đúng và hd đã được đặt, đây là tài khoản G Suite.

Người dùng có thể đăng ký Tài khoản Google mà không cần sử dụng Gmail hoặc G Suite. Thời gian email không chứa hậu tố @gmail.comhd không có Google thì không xác thực và sử dụng mật khẩu hoặc các phương pháp xác thực khác để xác minh người dùng. email_verified cũng có thể đúng vì ban đầu Google đã xác minh người dùng khi tài khoản Google được tạo, tuy nhiên quyền sở hữu đối với bên thứ ba tài khoản email có thể đã thay đổi.

Xác thực thông tin người dùng và tạo tài khoản mới

Kiểm tra xem một trong các điều kiện sau có đúng hay không:

  • Mã Tài khoản Google (trong trường sub của câu nhận định) nằm trong tài khoản người dùng của bạn cơ sở dữ liệu.
  • Địa chỉ email trong câu nhận định khớp với một người dùng trong cơ sở dữ liệu người dùng của bạn.

Nếu một trong hai điều kiện đúng, hãy nhắc người dùng liên kết tài khoản hiện có của họ bằng Tài khoản Google của họ. Để thực hiện việc này, hãy phản hồi yêu cầu với lỗi HTTP 401 chỉ định error=linking_error và cung cấp địa chỉ email của người dùng làm login_hint Sau đây là phản hồi mẫu:

HTTP/1.1 401 Unauthorized
Content-Type: application/json;charset=UTF-8

{
  "error":"linking_error",
  "login_hint":"foo@bar.com"
}

Khi nhận được phản hồi lỗi 401 với linking_error, Google sẽ gửi người dùng đến điểm cuối uỷ quyền của bạn bằng tham số login_hint. Chiến lược phát hành đĩa đơn người dùng hoàn tất quá trình liên kết tài khoản bằng quy trình liên kết OAuth trong trình duyệt của họ.

Nếu không có điều kiện nào đúng, hãy tạo tài khoản người dùng mới có thông tin đó được cung cấp trong JWT. Các tài khoản mới thường chưa đặt mật khẩu. Bây giờ bạn nên thêm tính năng Đăng nhập bằng Google vào các nền tảng khác để người dùng có thể đăng nhập bằng Google trên các nền tảng của ứng dụng. Ngoài ra, bạn có thể gửi email cho người dùng một liên kết bắt đầu quy trình khôi phục mật khẩu để cho phép đặt mật khẩu để đăng nhập trên các nền tảng khác.

Khi quá trình tạo hoàn tất, hãy cấp một mã truy cập rồi trả về các giá trị trong đối tượng JSON trong nội dung của phản hồi HTTPS, như trong ví dụ sau: 

{
  "token_type": "Bearer",
  "access_token": "ACCESS_TOKEN",
  "refresh_token": "REFRESH_TOKEN",
  "expires_in": SECONDS_TO_EXPIRATION
}

Lấy mã ứng dụng khách Google API

Bạn sẽ phải cung cấp Mã ứng dụng Google API trong quá trình đăng ký tính năng Liên kết tài khoản.

Để lấy mã ứng dụng API bằng dự án bạn đã tạo trong khi hoàn tất các bước Liên kết OAuth. Để thực hiện điều này, vui lòng hoàn thành các bước sau:

  2. Tạo hoặc chọn một dự án API của Google.

    Nếu dự án của bạn không có Mã ứng dụng cho Loại ứng dụng web, hãy nhấp vào Tạo ứng dụng để tạo mã ứng dụng. Hãy nhớ thêm miền của trang web vào hộp Nguồn gốc JavaScript được uỷ quyền. Khi thực hiện kiểm thử hoặc phát triển cục bộ, bạn phải thêm cả http://localhosthttp://localhost:<port_number> vào trường Nguồn gốc JavaScript được uỷ quyền.

Xác thực quá trình triển khai

您可以使用 OAuth 2.0 Playground 工具验证您的实现。

在该工具中,执行以下步骤:

  1. 点击配置 以打开 OAuth 2.0 配置窗口。
  2. OAuth flow 字段中,选择 Client-side(客户端)。
  3. OAuth 端点字段中,选择自定义
  4. 在相应字段中指定您的 OAuth 2.0 端点和您分配给 Google 的客户端 ID。
  5. 第 1 步部分,不要选择任何 Google 范围。请将此字段留空或输入对服务器有效的范围(如果您不使用 OAuth 范围,则可以输入任意字符串)。完成后,点击授权 API
  6. Step 2Step 3 部分中,完成 OAuth 2.0 流程,并验证每个步骤是否按预期运行。

您可以使用 Google 账号关联演示版工具验证您的实现。

在该工具中,执行以下步骤:

  1. 点击使用 Google 账号登录按钮。
  2. 选择您要关联的账号。
  3. 输入服务 ID。
  4. (可选)输入您要请求访问权限的一个或多个范围。
  5. 点击开始演示
  6. 当系统提示时,请确认您同意或拒绝关联请求。
  7. 确认您已被重定向到您的平台。