Uproszczone łączenie za pomocą protokołu OAuth i logowania przez Google

Omówienie

Uproszczone łączenie z logowaniem przez Google za pomocą protokołu OAuth – oprócz tego dodaliśmy Logowanie przez Google Łączenie przez OAuth. Pozwala to na bezproblemowe łączenie użytkowników usług Google, a także umożliwia tworzenie kont, dzięki czemu użytkownik może utworzyć nowe konto w usłudze za pomocą swojego konta Google.

Aby wykonać łączenie kont za pomocą protokołu OAuth i logowania przez Google, postępuj zgodnie z tymi ogólnymi wskazówkami kroki:

  1. Najpierw poproś użytkownika o zgodę na dostęp do jego profilu Google.
  2. Użyj informacji z profilu użytkownika, aby sprawdzić, czy konto użytkownika istnieje.
  3. Istniejący użytkownicy: połącz konta.
  4. Jeśli nie możesz znaleźć dopasowania użytkownika Google w swoim systemie uwierzytelniania, weryfikacji tokena tożsamości otrzymanego od Google. Następnie możesz utworzyć na informacjach o profilu zawartych w tokenie tożsamości.
Ilustracja przedstawia czynności, które użytkownik musi wykonać, aby połączyć swoje konto Google za pomocą uproszczonego procesu łączenia. Pierwszy zrzut ekranu pokazuje, jak użytkownik może wybrać aplikację do połączenia. Drugi zrzut ekranu pozwala użytkownikowi sprawdzić, czy ma już konto w Twojej usłudze. Trzeci zrzut ekranu pozwala użytkownikowi wybrać konto Google, z którym chce utworzyć połączenie. Na czwartym zrzucie ekranu widać potwierdzenie połączenia konta Google z Twoją aplikacją. Piąty zrzut ekranu przedstawia prawidłowo połączone konto użytkownika w aplikacji Google.

Rysunek 1. Łączenie kont na telefonie użytkownika dzięki uproszczonemu łączeniu

Wymagania dotyczące uproszczonego łączenia

. .

Wdróż serwer OAuth

Punkt końcowy token Exchange musi obsługiwać intencje check, create, get. Poniżej widać czynności wykonane w ramach procesu łączenia kont i wskazuje, kiedy są wywoływane różne intencje:

  1. Czy użytkownik ma konto w Twoim systemie uwierzytelniania? (Użytkownik decyduje, wybierając TAK lub NIE)
    1. TAK : Czy użytkownik używa adresu e-mail powiązanego z kontem Google do logowania się na Twojej platformie? (Użytkownik decyduje, wybierając TAK lub NIE)
      1. TAK : Czy użytkownik ma pasujące konto w Twoim systemie uwierzytelniania? (Dzwoni check intent, aby potwierdzić)
          .
        1. TAK : jeśli nastąpi zwrot intencji, wywoływana jest metoda get intent, a konto jest połączone.
        2. NIE : Utworzyć nowe konto? (Użytkownik decyduje, wybierając TAK lub NIE)
          1. TAK : jeśli nastąpi zwrot intencji, wywoływana jest metoda create intent, a konto jest połączone.
          2. NIE : uruchamiany jest przepływ internetowego protokołu OAuth, użytkownik jest kierowany do przeglądarki, a także może wybrać opcję połączenia za pomocą innego adresu e-mail.
      2. NIE : uruchamiany jest proces Web OAuth, użytkownik jest kierowany do przeglądarki, a także może wybrać opcję połączenia za pomocą innego adresu e-mail.
    2. NIE : Czy użytkownik ma pasujące konto w Twoim systemie uwierzytelniania? (Dzwoni check intent, aby potwierdzić)
        .
      1. TAK : jeśli nastąpi zwrot intencji, wywoływana jest metoda get intent, a konto jest połączone.
      2. NIE : jeśli nastąpi zwrot intencji, wywoływana jest metoda create intent, a konto jest połączone.

Sprawdzanie, czy istnieje konto użytkownika (sprawdź intencje)

Gdy użytkownik wyrazi zgodę na dostęp do jego profilu Google, Google wysyła żądania, które zawiera podpisane potwierdzenie tożsamości użytkownika Google. asercja zawiera informacje obejmujące identyfikator konta Google użytkownika, imię i nazwisko oraz adres e-mail. Punkt końcowy wymiany tokenów skonfigurowany dla Twojego które obsługuje projekt.

Jeśli odpowiednie konto Google jest już używane podczas uwierzytelniania system, punkt końcowy wymiany tokenów zwraca żądanie account_found=true. Jeśli Konto Google nie pasuje do istniejącego użytkownika lub punktu końcowego wymiany tokenów zwraca błąd HTTP 404 „Nie znaleziono” z account_found=false.

Prośba ma taki format:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&intent=check&assertion=JWT&scope=SCOPES&client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET

Punkt końcowy wymiany tokenów musi obsługiwać te parametry:

Parametry punktu końcowego tokena
intent W przypadku tych żądań wartość tego parametru jest check
grant_type Typ wymienianego tokena. W przypadku tych żądań ma wartość urn:ietf:params:oauth:grant-type:jwt-bearer.
assertion Token internetowy JSON (JWT), który stanowi podpisane potwierdzenie uwierzytelniania Google tożsamości użytkownika. Token JWT zawiera informacje o Identyfikator konta Google, imię i nazwisko oraz adres e-mail.
client_id Identyfikator klienta przypisany przez Ciebie do Google.
client_secret Klucz klienta przypisany przez Ciebie do Google.

Aby odpowiedzieć na żądania intencji check, punkt końcowy wymiany tokenów musi wykonać te czynności:

  • Sprawdź i zdekoduj potwierdzenie JWT.
  • Sprawdź, czy konto Google znajduje się już w systemie uwierzytelniania.
Weryfikowanie i dekodowanie potwierdzenia JWT

Potwierdzenie JWT możesz zweryfikować i zdekodować za pomocą Biblioteka dekodowania JWT dla Twojego języka Używaj Klucze publiczne Google, dostępne w tych krajach: JWK lub formaty PEM do weryfikacji, podpis tokena.

Po zdekodowaniu potwierdzenie JWT wygląda jak w tym przykładzie: 

{
  "sub": "1234567890",      // The unique ID of the user's Google Account
  "iss": "https://accounts.google.com",        // The assertion's issuer
  "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID
  "iat": 233366400,         // Unix timestamp of the assertion's creation time
  "exp": 233370000,         // Unix timestamp of the assertion's expiration time
  "name": "Jan Jansen",
  "given_name": "Jan",
  "family_name": "Jansen",
  "email": "jan@gmail.com", // If present, the user's email address
  "email_verified": true,   // true, if Google has verified the email address
  "hd": "example.com",      // If present, the host domain of the user's GSuite email address
                            // If present, a URL to user's profile picture
  "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ",
  "locale": "en_US"         // User's locale, from browser or phone settings
}

Oprócz weryfikacji podpisu tokena sprawdź, czy wydawca (pole iss) to https://accounts.google.com, oznacza to, że odbiorcy (pole aud) to przypisany identyfikator klienta, który nie wygasł. (pole exp).

Za pomocą pól email, email_verified i hd możesz określić, Google hostuje dany adres e-mail i jest dla niego autorytatywny. W przypadku, gdy Google autorytatywny, według którego użytkownik jest obecnie znany jako rzeczywisty właściciel konta i możesz pominąć hasło i inne testy zabezpieczające. W przeciwnym razie te metody mogą zostać użyte do zweryfikowania konta przed połączeniem.

Przypadki, w których Google ma wiarygodność:

  • To jest konto Gmail, adres email ma sufiks @gmail.com.
  • To jest konto G Suite, email_verified ma wartość prawda i ustawiono hd.

Użytkownicy mogą rejestrować się w Google, nie korzystając z Gmaila lub G Suite. Kiedy email nie zawiera sufiksu @gmail.com, a hd nie występuje w Google zalecamy wiarygodność i hasło lub inne metody weryfikujące weryfikację użytkownika. email_verified może również być prawdziwe, ponieważ wstępnie zweryfikowaliśmy, że użytkownika przy tworzeniu konta Google, jednak własność firmy zewnętrznej konto e-mail mogło się od tego czasu zmienić.

Sprawdź, czy konto Google znajduje się już w systemie uwierzytelniania

Sprawdź, czy spełniony jest jeden z tych warunków:

  • Identyfikator konta Google znajdujący się w polu sub potwierdzenia należy do użytkownika w bazie danych.
  • Adres e-mail podany w potwierdzeniu pasuje do użytkownika w bazie danych użytkowników.

Jeśli którykolwiek z tych warunków jest spełniony, użytkownik już się zarejestrował. W takim przypadku zwraca odpowiedź podobną do tej:

HTTP/1.1 200 Success
Content-Type: application/json;charset=UTF-8

{
  "account_found":"true",
}

Jeśli ani identyfikator konta Google, ani adres e-mail podany w oznacza, że użytkownik nie zarejestrował się jeszcze w bazie danych. W w tym przypadku punkt końcowy wymiany tokenów musi odpowiedzieć z błędem HTTP 404 , która określa "account_found": "false", tak jak w tym przykładzie:

HTTP/1.1 404 Not found
Content-Type: application/json;charset=UTF-8

{
  "account_found":"false",
}

Obsługa automatycznego łączenia (pobieranie intencji)

Gdy użytkownik wyrazi zgodę na dostęp do jego profilu Google, Google wysyła żądania, które zawiera podpisane potwierdzenie tożsamości użytkownika Google. asercja zawiera informacje obejmujące identyfikator konta Google użytkownika, imię i nazwisko oraz adres e-mail. Punkt końcowy wymiany tokenów skonfigurowany dla Twojego które obsługuje projekt.

Jeśli odpowiednie konto Google jest już używane podczas uwierzytelniania system, punkt końcowy wymiany tokenów zwraca token użytkownika. Jeśli Konto Google nie pasuje do istniejącego użytkownika lub punktu końcowego wymiany tokenów zwraca błąd linking_error i opcjonalny login_hint.

Prośba ma taki format:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&intent=get&assertion=JWT&scope=SCOPES&client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET

Punkt końcowy wymiany tokenów musi obsługiwać te parametry:

Parametry punktu końcowego tokena
intent W przypadku tych żądań wartość tego parametru wynosi get.
grant_type Typ wymienianego tokena. W przypadku tych żądań ma wartość urn:ietf:params:oauth:grant-type:jwt-bearer.
assertion Token internetowy JSON (JWT), który stanowi podpisane potwierdzenie uwierzytelniania Google tożsamości użytkownika. Token JWT zawiera informacje o Identyfikator konta Google, imię i nazwisko oraz adres e-mail.
scope Opcjonalne: wszystkie zakresy skonfigurowane przez Google, których ma żądać. użytkowników.
client_id Identyfikator klienta przypisany przez Ciebie do Google.
client_secret Klucz klienta przypisany przez Ciebie do Google.

Aby odpowiedzieć na żądania intencji get, punkt końcowy wymiany tokenów musi wykonać te czynności:

  • Sprawdź i zdekoduj potwierdzenie JWT.
  • Sprawdź, czy konto Google znajduje się już w systemie uwierzytelniania.
Weryfikowanie i dekodowanie potwierdzenia JWT

Potwierdzenie JWT możesz zweryfikować i zdekodować za pomocą Biblioteka dekodowania JWT dla Twojego języka Używaj Klucze publiczne Google, dostępne w tych krajach: JWK lub formaty PEM do weryfikacji, podpis tokena.

Po zdekodowaniu potwierdzenie JWT wygląda jak w tym przykładzie: 

{
  "sub": "1234567890",      // The unique ID of the user's Google Account
  "iss": "https://accounts.google.com",        // The assertion's issuer
  "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID
  "iat": 233366400,         // Unix timestamp of the assertion's creation time
  "exp": 233370000,         // Unix timestamp of the assertion's expiration time
  "name": "Jan Jansen",
  "given_name": "Jan",
  "family_name": "Jansen",
  "email": "jan@gmail.com", // If present, the user's email address
  "email_verified": true,   // true, if Google has verified the email address
  "hd": "example.com",      // If present, the host domain of the user's GSuite email address
                            // If present, a URL to user's profile picture
  "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ",
  "locale": "en_US"         // User's locale, from browser or phone settings
}

Oprócz weryfikacji podpisu tokena sprawdź, czy wydawca (pole iss) to https://accounts.google.com, oznacza to, że odbiorcy (pole aud) to przypisany identyfikator klienta, który nie wygasł. (pole exp).

Za pomocą pól email, email_verified i hd możesz określić, Google hostuje dany adres e-mail i jest dla niego autorytatywny. W przypadku, gdy Google autorytatywny, według którego użytkownik jest obecnie znany jako rzeczywisty właściciel konta i możesz pominąć hasło i inne testy zabezpieczające. W przeciwnym razie te metody mogą zostać użyte do zweryfikowania konta przed połączeniem.

Przypadki, w których Google ma wiarygodność:

  • To jest konto Gmail, adres email ma sufiks @gmail.com.
  • To jest konto G Suite, email_verified ma wartość prawda i ustawiono hd.

Użytkownicy mogą rejestrować się w Google, nie korzystając z Gmaila lub G Suite. Kiedy email nie zawiera sufiksu @gmail.com, a hd nie występuje w Google zalecamy wiarygodność i hasło lub inne metody weryfikujące weryfikację użytkownika. email_verified może również być prawdziwe, ponieważ wstępnie zweryfikowaliśmy, że użytkownika przy tworzeniu konta Google, jednak własność firmy zewnętrznej konto e-mail mogło się od tego czasu zmienić.

Sprawdź, czy konto Google znajduje się już w systemie uwierzytelniania

Sprawdź, czy spełniony jest jeden z tych warunków:

  • Identyfikator konta Google znajdujący się w polu sub potwierdzenia należy do użytkownika w bazie danych.
  • Adres e-mail podany w potwierdzeniu pasuje do użytkownika w bazie danych użytkowników.

Jeśli konto użytkownika zostanie znalezione, wydawaj token dostępu i zwracaj wartości w obiekcie JSON w treści odpowiedzi HTTPS, jak w tym przykładzie: 

{
  "token_type": "Bearer",
  "access_token": "ACCESS_TOKEN",

  "expires_in": SECONDS_TO_EXPIRATION
}

W niektórych przypadkach połączenie kont na podstawie tokena tożsamości może się nie udać w przypadku użytkownika. Jeśli zrobi to z jakiegokolwiek powodu, punkt końcowy wymiany tokenów musi odpowiedzieć z kodem Błąd 401, który określa error=linking_error, tak jak w tym przykładzie:

HTTP/1.1 401 Unauthorized
Content-Type: application/json;charset=UTF-8

{
  "error":"linking_error",
  "login_hint":"foo@bar.com"
}

Gdy Google otrzymuje odpowiedź o błędzie 401 z kodem linking_error, wysyła użytkownika do punktu końcowego autoryzacji z parametrem login_hint. użytkownik realizuje proces łączenia kont w przeglądarce za pomocą protokołu OAuth.

Obsługa tworzenia kont przez Logowanie przez Google (intencja tworzenia)

Gdy użytkownik musi utworzyć konto w Twojej usłudze, Google wysyła odpowiednie żądanie. do punktu końcowego wymiany tokenów, który wskazuje intent=create.

Prośba ma taki format:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

response_type=token&grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&scope=SCOPES&intent=create&assertion=JWT&client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET

Punkt końcowy wymiany tokenów musi obsługiwać te parametry:

Parametry punktu końcowego tokena
intent W przypadku tych żądań wartość tego parametru wynosi create.
grant_type Typ wymienianego tokena. W przypadku tych żądań ma wartość urn:ietf:params:oauth:grant-type:jwt-bearer.
assertion Token internetowy JSON (JWT), który stanowi podpisane potwierdzenie uwierzytelniania Google tożsamości użytkownika. Token JWT zawiera informacje o Identyfikator konta Google, imię i nazwisko oraz adres e-mail.
client_id Identyfikator klienta przypisany przez Ciebie do Google.
client_secret Klucz klienta przypisany przez Ciebie do Google.

Token JWT w parametrze assertion zawiera identyfikator konta Google użytkownika. imię i nazwisko oraz adres e-mail, których możesz użyć do utworzenia nowego konta posprzedażna.

Aby odpowiedzieć na żądania intencji create, punkt końcowy wymiany tokenów musi wykonać te czynności:

  • Sprawdź i zdekoduj potwierdzenie JWT.
  • Sprawdź informacje o użytkowniku i utwórz nowe konto.
Weryfikowanie i dekodowanie potwierdzenia JWT

Potwierdzenie JWT możesz zweryfikować i zdekodować za pomocą Biblioteka dekodowania JWT dla Twojego języka Używaj Klucze publiczne Google, dostępne w tych krajach: JWK lub formaty PEM do weryfikacji, podpis tokena.

Po zdekodowaniu potwierdzenie JWT wygląda jak w tym przykładzie: 

{
  "sub": "1234567890",      // The unique ID of the user's Google Account
  "iss": "https://accounts.google.com",        // The assertion's issuer
  "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID
  "iat": 233366400,         // Unix timestamp of the assertion's creation time
  "exp": 233370000,         // Unix timestamp of the assertion's expiration time
  "name": "Jan Jansen",
  "given_name": "Jan",
  "family_name": "Jansen",
  "email": "jan@gmail.com", // If present, the user's email address
  "email_verified": true,   // true, if Google has verified the email address
  "hd": "example.com",      // If present, the host domain of the user's GSuite email address
                            // If present, a URL to user's profile picture
  "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ",
  "locale": "en_US"         // User's locale, from browser or phone settings
}

Oprócz weryfikacji podpisu tokena sprawdź, czy wydawca (pole iss) to https://accounts.google.com, oznacza to, że odbiorcy (pole aud) to przypisany identyfikator klienta, który nie wygasł. (pole exp).

Za pomocą pól email, email_verified i hd możesz określić, Google hostuje dany adres e-mail i jest dla niego autorytatywny. W przypadku, gdy Google autorytatywny, według którego użytkownik jest obecnie znany jako rzeczywisty właściciel konta i możesz pominąć hasło i inne testy zabezpieczające. W przeciwnym razie te metody mogą zostać użyte do zweryfikowania konta przed połączeniem.

Przypadki, w których Google ma wiarygodność:

  • To jest konto Gmail, adres email ma sufiks @gmail.com.
  • To jest konto G Suite, email_verified ma wartość prawda i ustawiono hd.

Użytkownicy mogą rejestrować się w Google, nie korzystając z Gmaila lub G Suite. Kiedy email nie zawiera sufiksu @gmail.com, a hd nie występuje w Google zalecamy wiarygodność i hasło lub inne metody weryfikujące weryfikację użytkownika. email_verified może również być prawdziwe, ponieważ wstępnie zweryfikowaliśmy, że użytkownika przy tworzeniu konta Google, jednak własność firmy zewnętrznej konto e-mail mogło się od tego czasu zmienić.

Zweryfikuj informacje o użytkowniku i utwórz nowe konto

Sprawdź, czy spełniony jest jeden z tych warunków:

  • Identyfikator konta Google znajdujący się w polu sub potwierdzenia należy do użytkownika w bazie danych.
  • Adres e-mail podany w potwierdzeniu pasuje do użytkownika w bazie danych użytkowników.

Jeśli którykolwiek z tych warunków jest spełniony, poproś użytkownika o połączenie istniejącego konta za pomocą swojego konta Google. W tym celu odpowiedz na żądanie, przesyłając błąd HTTP 401. określający error=linking_error, a jako adres e-mail użytkownika login_hint Oto przykładowa odpowiedź:

HTTP/1.1 401 Unauthorized
Content-Type: application/json;charset=UTF-8

{
  "error":"linking_error",
  "login_hint":"foo@bar.com"
}

Gdy Google otrzymuje odpowiedź o błędzie 401 z kodem linking_error, wysyła użytkownika do punktu końcowego autoryzacji z parametrem login_hint. użytkownik realizuje proces łączenia kont w przeglądarce za pomocą protokołu OAuth.

Jeśli żaden z tych warunków nie jest spełniony, utwórz nowe konto użytkownika z tymi informacjami podane w tokenie JWT. Nowe konta zwykle nie mają ustawionego hasła. Jest zalecamy dodanie Logowania przez Google na innych platformach, aby umożliwić użytkownikom logować się przy użyciu konta Google w różnych miejscach aplikacji. Ewentualnie może wysłać do użytkownika e-maila z linkiem rozpoczynającym proces odzyskiwania hasła, który zezwoli na użytkownik musi ustawić hasło używane do logowania się na innych platformach.

Po zakończeniu tworzenia wydaj token dostępu i zwracają wartości w obiekcie JSON w treść odpowiedzi HTTPS, jak w tym przykładzie: 

{
  "token_type": "Bearer",
  "access_token": "ACCESS_TOKEN",

  "expires_in": SECONDS_TO_EXPIRATION
}

Uzyskiwanie identyfikatora klienta interfejsu API Google

Podczas procesu rejestracji w ramach łączenia kont musisz podać identyfikator klienta interfejsu API Google.

Aby uzyskać identyfikator klienta interfejsu API przy użyciu projektu utworzonego podczas wykonywania czynności dotyczących łączenia protokołu OAuth. W tym celu wykonaj następujące czynności:

  1. Otwórz stronę Credentials (Dane logowania) w interfejsie Konsola interfejsów API Google.

  2. Utwórz lub wybierz projekt interfejsów API Google.

    Jeśli Twój projekt nie ma identyfikatora klienta dla typu aplikacji internetowej, kliknij Utwórz dane logowania > Identyfikator klienta OAuth, aby go utworzyć. Pamiętaj o podaniu domenę witryny w polu Autoryzowane źródła JavaScriptu. Po wykonaniu lokalnych testów lub programowania, musisz dodać zarówno http://localhost, jak i http://localhost:<port_number> w polu Autoryzowane źródła JavaScript.

Weryfikowanie implementacji

Można sprawdzić poprawność implementacji za pomocą OAuth 2.0 Playground narzędzia.

W narzędziu wykonaj następujące czynności:

  1. Kliknij konfiguracji , aby otworzyć okno konfiguracji OAuth 2.0.
  2. W dziedzinie przepływu OAuth, wybierz Client-side.
  3. W polu OAuth Endpoints wybierz Niestandardowy.
  4. W odpowiednich polach określ punkt końcowy OAuth 2.0 i identyfikator klienta przypisany do Google.
  5. W sekcji Krok 1, nie zaznaczaj żadnych zakresów Google. Zamiast tego pozostaw to pole puste lub wpisz zakres poprawny dla Twojego serwera (lub dowolny ciąg, jeśli nie używasz zakresów OAuth). Kiedy skończysz, kliknij autoryzacji API.
  6. W etapie 2 i etapem 3 części, przechodzą przepływu OAuth 2.0 i upewnić się, że każdy etap działa zgodnie z zamierzeniem.

Można sprawdzić poprawność implementacji za pomocą konta Google Linking Demo narzędzia.

W narzędziu wykonaj następujące czynności:

  1. Kliknij Sign-in z przycisku Google.
  2. Wybierz konto, które chcesz połączyć.
  3. Wprowadź identyfikator usługi.
  4. Opcjonalnie wprowadź co najmniej jeden zakres, do którego poprosisz o dostęp.
  5. Kliknij Start Demo.
  6. Po wyświetleniu monitu potwierdź, że możesz wyrazić zgodę i odrzucić prośbę o połączenie.
  7. Potwierdź, że zostałeś przekierowany na swoją platformę.