Omówienie
Uproszczone łączenie z logowaniem przez Google za pomocą protokołu OAuth – oprócz tego dodaliśmy Logowanie przez Google Łączenie przez OAuth. Pozwala to na bezproblemowe łączenie użytkowników usług Google, a także umożliwia tworzenie kont, dzięki czemu użytkownik może utworzyć nowe konto w usłudze za pomocą swojego konta Google.
Aby wykonać łączenie kont za pomocą protokołu OAuth i logowania przez Google, postępuj zgodnie z tymi ogólnymi wskazówkami kroki:
- Najpierw poproś użytkownika o zgodę na dostęp do jego profilu Google.
- Użyj informacji z profilu użytkownika, aby sprawdzić, czy konto użytkownika istnieje.
- Istniejący użytkownicy: połącz konta.
- Jeśli nie możesz znaleźć dopasowania użytkownika Google w swoim systemie uwierzytelniania, weryfikacji tokena tożsamości otrzymanego od Google. Następnie możesz utworzyć na informacjach o profilu zawartych w tokenie tożsamości.
Rysunek 1. Łączenie kont na telefonie użytkownika dzięki uproszczonemu łączeniu
Wymagania dotyczące uproszczonego łączenia
- Zaimplementuj proces podstawowego łączenia internetowego protokołu OAuth. Twoja usługa musi obsługiwać protokół OAuth 2.0 punkty końcowe autoryzacji i wymiany tokenów.
- Punkt końcowy wymiany tokenów musi obsługiwać asercje tokena internetowego JSON (JWT) i implementować intencje
check
,create
iget
.
Wdróż serwer OAuth
Punkt końcowy token Exchange musi obsługiwać intencje check
, create
, get
. Poniżej widać czynności wykonane w ramach procesu łączenia kont i wskazuje, kiedy są wywoływane różne intencje:
- Czy użytkownik ma konto w Twoim systemie uwierzytelniania? (Użytkownik decyduje, wybierając TAK lub NIE)
- TAK : Czy użytkownik używa adresu e-mail powiązanego z kontem Google do logowania się na Twojej platformie? (Użytkownik decyduje, wybierając TAK lub NIE)
- TAK : Czy użytkownik ma pasujące konto w Twoim systemie uwierzytelniania? (Dzwoni
check intent
, aby potwierdzić)- .
- TAK : jeśli nastąpi zwrot intencji, wywoływana jest metoda
get intent
, a konto jest połączone. - NIE : Utworzyć nowe konto? (Użytkownik decyduje, wybierając TAK lub NIE)
- TAK : jeśli nastąpi zwrot intencji, wywoływana jest metoda
create intent
, a konto jest połączone. - NIE : uruchamiany jest przepływ internetowego protokołu OAuth, użytkownik jest kierowany do przeglądarki, a także może wybrać opcję połączenia za pomocą innego adresu e-mail.
- TAK : jeśli nastąpi zwrot intencji, wywoływana jest metoda
- TAK : jeśli nastąpi zwrot intencji, wywoływana jest metoda
- NIE : uruchamiany jest proces Web OAuth, użytkownik jest kierowany do przeglądarki, a także może wybrać opcję połączenia za pomocą innego adresu e-mail.
- TAK : Czy użytkownik ma pasujące konto w Twoim systemie uwierzytelniania? (Dzwoni
- NIE : Czy użytkownik ma pasujące konto w Twoim systemie uwierzytelniania? (Dzwoni
check intent
, aby potwierdzić)- .
- TAK : jeśli nastąpi zwrot intencji, wywoływana jest metoda
get intent
, a konto jest połączone. - NIE : jeśli nastąpi zwrot intencji, wywoływana jest metoda
create intent
, a konto jest połączone.
- TAK : jeśli nastąpi zwrot intencji, wywoływana jest metoda
- TAK : Czy użytkownik używa adresu e-mail powiązanego z kontem Google do logowania się na Twojej platformie? (Użytkownik decyduje, wybierając TAK lub NIE)
Sprawdzanie, czy istnieje konto użytkownika (sprawdź intencje)
Gdy użytkownik wyrazi zgodę na dostęp do jego profilu Google, Google wysyła żądania, które zawiera podpisane potwierdzenie tożsamości użytkownika Google. asercja zawiera informacje obejmujące identyfikator konta Google użytkownika, imię i nazwisko oraz adres e-mail. Punkt końcowy wymiany tokenów skonfigurowany dla Twojego które obsługuje projekt.
Jeśli odpowiednie konto Google jest już używane podczas uwierzytelniania
system, punkt końcowy wymiany tokenów zwraca żądanie account_found=true
. Jeśli
Konto Google nie pasuje do istniejącego użytkownika lub punktu końcowego wymiany tokenów
zwraca błąd HTTP 404 „Nie znaleziono” z account_found=false
.
Prośba ma taki format:
POST /token HTTP/1.1 Host: oauth2.example.com Content-Type: application/x-www-form-urlencoded grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&intent=check&assertion=JWT&scope=SCOPES&client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET
Punkt końcowy wymiany tokenów musi obsługiwać te parametry:
Parametry punktu końcowego tokena | |
---|---|
intent |
W przypadku tych żądań wartość tego parametru jest
check |
grant_type |
Typ wymienianego tokena. W przypadku tych żądań
ma wartość urn:ietf:params:oauth:grant-type:jwt-bearer . |
assertion |
Token internetowy JSON (JWT), który stanowi podpisane potwierdzenie uwierzytelniania Google tożsamości użytkownika. Token JWT zawiera informacje o Identyfikator konta Google, imię i nazwisko oraz adres e-mail. |
client_id |
Identyfikator klienta przypisany przez Ciebie do Google. |
client_secret |
Klucz klienta przypisany przez Ciebie do Google. |
Aby odpowiedzieć na żądania intencji check
, punkt końcowy wymiany tokenów musi wykonać te czynności:
- Sprawdź i zdekoduj potwierdzenie JWT.
- Sprawdź, czy konto Google znajduje się już w systemie uwierzytelniania.
验证和解码 JWT 断言
您可以使用 适用于您所用语言的 JWT 解码库。使用 Google 的公钥,在 JWK 或 PEM 格式,用于验证 令牌的签名。
解码后,JWT 断言如以下示例所示:
{ "sub": "1234567890", // The unique ID of the user's Google Account "iss": "https://accounts.google.com", // The assertion's issuer "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID "iat": 233366400, // Unix timestamp of the assertion's creation time "exp": 233370000, // Unix timestamp of the assertion's expiration time "name": "Jan Jansen", "given_name": "Jan", "family_name": "Jansen", "email": "jan@gmail.com", // If present, the user's email address "email_verified": true, // true, if Google has verified the email address "hd": "example.com", // If present, the host domain of the user's GSuite email address // If present, a URL to user's profile picture "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ", "locale": "en_US" // User's locale, from browser or phone settings }
除了验证令牌的签名之外,还要验证断言的
颁发者(iss
字段)为 https://accounts.google.com
,
(aud
字段)是分配给您的客户端 ID,并且令牌未过期
(exp
字段)。
使用 email
、email_verified
和 hd
字段,您可以确定
Google 负责托管电子邮件地址,并对其具有权威性。如果 Google
权威性 - 用户当前被认定为合法账号所有者
您可以跳过密码或其他验证方法。否则,这些方法
可用于在关联之前验证账号。
Google 具有权威性的情形:
email
的后缀为@gmail.com
,这是一个 Gmail 账号。email_verified
为 true 且hd
已设置,这是 G Suite 账号。
用户无需使用 Gmail 或 G Suite 即可注册 Google 账号。时间
email
不包含 @gmail.com
后缀,且 hd
不存在 Google 不
建议使用权威凭据和密码或其他验证方法进行验证
用户。email_verified
可能为 true,因为 Google 最初验证了
创建 Google 账号后,该用户会获得第三方的所有权,
后,电子邮件账号可能已更改。
Sprawdź, czy konto Google znajduje się już w systemie uwierzytelniania
Sprawdź, czy spełniony jest jeden z tych warunków:
- Identyfikator konta Google znajdujący się w polu
sub
potwierdzenia należy do użytkownika w bazie danych. - Adres e-mail podany w potwierdzeniu pasuje do użytkownika w bazie danych użytkowników.
Jeśli którykolwiek z tych warunków jest spełniony, użytkownik już się zarejestrował. W takim przypadku zwraca odpowiedź podobną do tej:
HTTP/1.1 200 Success Content-Type: application/json;charset=UTF-8 { "account_found":"true", }
Jeśli ani identyfikator konta Google, ani adres e-mail podany w
oznacza, że użytkownik nie zarejestrował się jeszcze w bazie danych. W
w tym przypadku punkt końcowy wymiany tokenów musi odpowiedzieć z błędem HTTP 404
, która określa "account_found": "false"
, tak jak w tym przykładzie:
HTTP/1.1 404 Not found Content-Type: application/json;charset=UTF-8 { "account_found":"false", }
Obsługa automatycznego łączenia (pobieranie intencji)
Gdy użytkownik wyrazi zgodę na dostęp do jego profilu Google, Google wysyła żądania, które zawiera podpisane potwierdzenie tożsamości użytkownika Google. asercja zawiera informacje obejmujące identyfikator konta Google użytkownika, imię i nazwisko oraz adres e-mail. Punkt końcowy wymiany tokenów skonfigurowany dla Twojego które obsługuje projekt.
Jeśli odpowiednie konto Google jest już używane podczas uwierzytelniania
system, punkt końcowy wymiany tokenów zwraca token użytkownika. Jeśli
Konto Google nie pasuje do istniejącego użytkownika lub punktu końcowego wymiany tokenów
zwraca błąd linking_error
i opcjonalny login_hint
.
Prośba ma taki format:
POST /token HTTP/1.1 Host: oauth2.example.com Content-Type: application/x-www-form-urlencoded grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&intent=get&assertion=JWT&scope=SCOPES&client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET
Punkt końcowy wymiany tokenów musi obsługiwać te parametry:
Parametry punktu końcowego tokena | |
---|---|
intent |
W przypadku tych żądań wartość tego parametru wynosi get . |
grant_type |
Typ wymienianego tokena. W przypadku tych żądań
ma wartość urn:ietf:params:oauth:grant-type:jwt-bearer . |
assertion |
Token internetowy JSON (JWT), który stanowi podpisane potwierdzenie uwierzytelniania Google tożsamości użytkownika. Token JWT zawiera informacje o Identyfikator konta Google, imię i nazwisko oraz adres e-mail. |
scope |
Opcjonalne: wszystkie zakresy skonfigurowane przez Google, których ma żądać. użytkowników. |
client_id |
Identyfikator klienta przypisany przez Ciebie do Google. |
client_secret |
Klucz klienta przypisany przez Ciebie do Google. |
Aby odpowiedzieć na żądania intencji get
, punkt końcowy wymiany tokenów musi wykonać te czynności:
- Sprawdź i zdekoduj potwierdzenie JWT.
- Sprawdź, czy konto Google znajduje się już w systemie uwierzytelniania.
验证和解码 JWT 断言
您可以使用 适用于您所用语言的 JWT 解码库。使用 Google 的公钥,在 JWK 或 PEM 格式,用于验证 令牌的签名。
解码后,JWT 断言如以下示例所示:
{ "sub": "1234567890", // The unique ID of the user's Google Account "iss": "https://accounts.google.com", // The assertion's issuer "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID "iat": 233366400, // Unix timestamp of the assertion's creation time "exp": 233370000, // Unix timestamp of the assertion's expiration time "name": "Jan Jansen", "given_name": "Jan", "family_name": "Jansen", "email": "jan@gmail.com", // If present, the user's email address "email_verified": true, // true, if Google has verified the email address "hd": "example.com", // If present, the host domain of the user's GSuite email address // If present, a URL to user's profile picture "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ", "locale": "en_US" // User's locale, from browser or phone settings }
除了验证令牌的签名之外,还要验证断言的
颁发者(iss
字段)为 https://accounts.google.com
,
(aud
字段)是分配给您的客户端 ID,并且令牌未过期
(exp
字段)。
使用 email
、email_verified
和 hd
字段,您可以确定
Google 负责托管电子邮件地址,并对其具有权威性。如果 Google
权威性 - 用户当前被认定为合法账号所有者
您可以跳过密码或其他验证方法。否则,这些方法
可用于在关联之前验证账号。
Google 具有权威性的情形:
email
的后缀为@gmail.com
,这是一个 Gmail 账号。email_verified
为 true 且hd
已设置,这是 G Suite 账号。
用户无需使用 Gmail 或 G Suite 即可注册 Google 账号。时间
email
不包含 @gmail.com
后缀,且 hd
不存在 Google 不
建议使用权威凭据和密码或其他验证方法进行验证
用户。email_verified
可能为 true,因为 Google 最初验证了
创建 Google 账号后,该用户会获得第三方的所有权,
后,电子邮件账号可能已更改。
Sprawdź, czy konto Google znajduje się już w systemie uwierzytelniania
Sprawdź, czy spełniony jest jeden z tych warunków:
- Identyfikator konta Google znajdujący się w polu
sub
potwierdzenia należy do użytkownika w bazie danych. - Adres e-mail podany w potwierdzeniu pasuje do użytkownika w bazie danych użytkowników.
Jeśli konto użytkownika zostanie znalezione, wydawaj token dostępu i zwracaj wartości w obiekcie JSON w treści odpowiedzi HTTPS, jak w tym przykładzie:
{ "token_type": "Bearer", "access_token": "ACCESS_TOKEN", "expires_in": SECONDS_TO_EXPIRATION }
W niektórych przypadkach połączenie kont na podstawie tokena tożsamości może się nie udać w przypadku użytkownika. Jeśli
zrobi to z jakiegokolwiek powodu, punkt końcowy wymiany tokenów musi odpowiedzieć z kodem
Błąd 401, który określa error=linking_error
, tak jak w tym przykładzie:
HTTP/1.1 401 Unauthorized Content-Type: application/json;charset=UTF-8 { "error":"linking_error", "login_hint":"foo@bar.com" }
Gdy Google otrzymuje odpowiedź o błędzie 401 z kodem linking_error
, wysyła
użytkownika do punktu końcowego autoryzacji z parametrem login_hint
.
użytkownik realizuje proces łączenia kont w przeglądarce za pomocą protokołu OAuth.
通过 Google 登录功能处理账号创建(创建 intent)
当用户需要在您的服务中创建账号时,Google 会发出请求
发送到指定 intent=create
的令牌交换端点。
请求的格式如下:
POST /token HTTP/1.1 Host: oauth2.example.com Content-Type: application/x-www-form-urlencoded response_type=token&grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&scope=SCOPES&intent=create&assertion=JWT&client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET
您的令牌交换端点必须能够处理以下参数:
令牌端点参数 | |
---|---|
intent |
对于这些请求,此参数的值为 create 。 |
grant_type |
所交换的令牌的类型。对于这类请求
参数的值为 urn:ietf:params:oauth:grant-type:jwt-bearer 。 |
assertion |
一个 JSON Web 令牌 (JWT),提供 Google 用户身份。JWT 包含的信息包括用户 Google 账号 ID、姓名和电子邮件地址。 |
client_id |
您分配给 Google 的客户 ID。 |
client_secret |
您分配给 Google 的客户端密钥。 |
assertion
参数中的 JWT 包含用户的 Google 账号 ID。
姓名和电子邮件地址,可用于在 Gmail 中创建新账号
服务。
如需响应 create
intent 请求,您的令牌交换端点必须执行以下步骤:
- 验证和解码 JWT 断言。
- 验证用户信息并创建新账号。
验证和解码 JWT 断言
您可以使用 适用于您所用语言的 JWT 解码库。使用 Google 的公钥,在 JWK 或 PEM 格式,用于验证 令牌的签名。
解码后,JWT 断言如以下示例所示:
{ "sub": "1234567890", // The unique ID of the user's Google Account "iss": "https://accounts.google.com", // The assertion's issuer "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID "iat": 233366400, // Unix timestamp of the assertion's creation time "exp": 233370000, // Unix timestamp of the assertion's expiration time "name": "Jan Jansen", "given_name": "Jan", "family_name": "Jansen", "email": "jan@gmail.com", // If present, the user's email address "email_verified": true, // true, if Google has verified the email address "hd": "example.com", // If present, the host domain of the user's GSuite email address // If present, a URL to user's profile picture "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ", "locale": "en_US" // User's locale, from browser or phone settings }
除了验证令牌的签名之外,还要验证断言的
颁发者(iss
字段)为 https://accounts.google.com
,
(aud
字段)是分配给您的客户端 ID,并且令牌未过期
(exp
字段)。
使用 email
、email_verified
和 hd
字段,您可以确定
Google 负责托管电子邮件地址,并对其具有权威性。如果 Google
权威性 - 用户当前被认定为合法账号所有者
您可以跳过密码或其他验证方法。否则,这些方法
可用于在关联之前验证账号。
Google 具有权威性的情形:
email
的后缀为@gmail.com
,这是一个 Gmail 账号。email_verified
为 true 且hd
已设置,这是 G Suite 账号。
用户无需使用 Gmail 或 G Suite 即可注册 Google 账号。时间
email
不包含 @gmail.com
后缀,且 hd
不存在 Google 不
建议使用权威凭据和密码或其他验证方法进行验证
用户。email_verified
可能为 true,因为 Google 最初验证了
创建 Google 账号后,该用户会获得第三方的所有权,
后,电子邮件账号可能已更改。
验证用户信息并创建新账号
请检查以下任一条件是否成立:
- Google 账号 ID(可在断言的
sub
字段中找到)位于您的用户中 数据库。 - 断言中的电子邮件地址与用户数据库中的用户匹配。
如果满足上述任一条件,请提示用户关联其现有账号
与其 Google 账号关联。为此,请使用 HTTP 401 错误响应请求
该参数指定 error=linking_error
并将用户的电子邮件地址作为
login_hint
。以下是示例响应:
HTTP/1.1 401 Unauthorized Content-Type: application/json;charset=UTF-8 { "error":"linking_error", "login_hint":"foo@bar.com" }
当 Google 收到包含 linking_error
的 401 错误响应时,会发送
使用 login_hint
作为参数将用户发送到您的授权端点。通过
用户在浏览器中使用 OAuth 关联流程完成账号关联。
如果以上两个条件都不满足,请使用相应信息创建一个新的用户账号 。新账号通常不会设置密码。时间是 建议您将 Google 登录功能添加到其他平台,以便用户 使用 Google 账号登录。或者 可以通过电子邮件向用户发送链接,启动密码恢复流程,以允许 用户设置密码,以便在其他平台上登录。
创建完成后,发出一个访问令牌 并在 HTTPS 响应的正文,如以下示例所示:
{ "token_type": "Bearer", "access_token": "ACCESS_TOKEN", "expires_in": SECONDS_TO_EXPIRATION }
Uzyskiwanie identyfikatora klienta interfejsu API Google
Podczas procesu rejestracji w ramach łączenia kont musisz podać identyfikator klienta interfejsu API Google.
Aby uzyskać identyfikator klienta interfejsu API przy użyciu projektu utworzonego podczas wykonywania czynności dotyczących łączenia protokołu OAuth. W tym celu wykonaj następujące czynności:
- Otwórz stronę Credentials (Dane logowania) w interfejsie Konsola interfejsów API Google.
Utwórz lub wybierz projekt interfejsów API Google.
Jeśli Twój projekt nie ma identyfikatora klienta dla typu aplikacji internetowej, kliknij Utwórz dane logowania > Identyfikator klienta OAuth, aby go utworzyć. Pamiętaj o podaniu domenę witryny w polu Autoryzowane źródła JavaScriptu. Po wykonaniu lokalnych testów lub programowania, musisz dodać zarówno
http://localhost
, jak ihttp://localhost:<port_number>
w polu Autoryzowane źródła JavaScript.
Weryfikowanie implementacji
Własną implementację możesz sprawdzić za pomocą narzędzia OAuth 2.0 Playground.
W narzędziu wykonaj te czynności:
- Kliknij Konfiguracja , aby otworzyć okno konfiguracji OAuth 2.0.
- W polu Procedura OAuth wybierz Po stronie klienta.
- W polu Punkty końcowe OAuth wybierz Niestandardowe.
- W odpowiednich polach podaj punkt końcowy OAuth 2.0 i identyfikator klienta przypisany do Google.
- W sekcji Krok 1 nie wybieraj żadnych zakresów uprawnień Google. Zamiast tego pozostaw to pole puste lub wpisz zakres prawidłowy dla Twojego serwera (lub dowolny ciąg znaków, jeśli nie używasz zakresów OAuth). Gdy skończysz, kliknij Autoryzuj interfejsy API.
- W sekcji Krok 2 i Krok 3 przejdź przez proces OAuth 2.0 i sprawdź, czy każdy krok działa prawidłowo.
Implementację możesz zweryfikować za pomocą narzędzia Demo łączenia kont Google.
W narzędziu wykonaj te czynności:
- Kliknij przycisk Zaloguj się przez Google.
- Wybierz konto, które chcesz połączyć.
- Wpisz identyfikator usługi.
- Opcjonalnie wpisz co najmniej 1 zakres, do którego chcesz uzyskać dostęp.
- Kliknij Uruchom wersję pokazową.
- Gdy pojawi się odpowiedni komunikat, potwierdź, że możesz wyrazić zgodę lub odrzucić prośbę o połączenie.
- Sprawdź, czy nastąpiło przekierowanie na Twoją platformę.