Vinculación optimizada con OAuth y el inicio de sesión de Google

Descripción general

Basada en OAuth vinculación de sesión de Google optimizada añade acceso de Google en la parte superior de OAuth vinculación . Esto proporciona una experiencia de vinculación perfecta para los usuarios de Google y también permite la creación de cuentas, lo que permite al usuario crear una nueva cuenta en su servicio utilizando su cuenta de Google.

Para realizar la vinculación de cuentas con OAuth y Google Sign-In, siga estos pasos generales:

  1. En primer lugar, pide al usuario que dé su consentimiento para acceder a su perfil de Google.
  2. Utilice la información de su perfil para comprobar si existe la cuenta de usuario.
  3. Para los usuarios existentes, vincule las cuentas.
  4. Si no puede encontrar una coincidencia para el usuario de Google en su sistema de autenticación, valide el token de identificación recibido de Google. Luego puede crear un usuario basado en la información de perfil contenida en el token de ID.
Esta figura muestra los pasos para que un usuario vincule su cuenta de Google mediante el flujo de vinculación simplificado. La primera captura de pantalla muestra cómo un usuario puede seleccionar su aplicación para vincularla. La segunda captura de pantalla le permite al usuario confirmar si tiene o no una cuenta existente en su servicio. La tercera captura de pantalla le permite al usuario seleccionar la cuenta de Google con la que desea vincularse. La cuarta captura de pantalla muestra la confirmación de vincular su cuenta de Google con su aplicación. La quinta captura de pantalla muestra una cuenta de usuario vinculada con éxito en la aplicación de Google.

Figura 1. Vinculación de cuentas en el teléfono de un usuario con vinculación optimizada

Requisitos para la vinculación optimizada

Implementa tu servidor OAuth

Su punto final Cambio de Ficha debe ser compatible con el check , create , get intenciones. A continuación, se muestran los pasos completados a través del flujo de vinculación de cuentas e indica cuándo se llaman las diferentes intenciones:

  1. ¿El usuario tiene una cuenta en su sistema de autenticación? (El usuario decide seleccionando SI o NO)
    1. SÍ: ¿El usuario utiliza el correo electrónico asociado a su cuenta de Google para iniciar sesión en su plataforma? (El usuario decide seleccionando SI o NO)
      1. SÍ: ¿Tiene el usuario una cuenta coincidente en su sistema de autenticación? ( check intent está llamado a confirmar)
        1. SÍ: get intent que se llama y la cuenta está vinculada si la intención obtener retornos con éxito.
        2. NO: ¿Crear nueva cuenta? (El usuario decide seleccionando SI o NO)
          1. SÍ: create intent que se llama y la cuenta está vinculada si la intención de crear rendimientos éxito.
          2. NO: se activa el flujo de Web OAuth, se dirige al usuario a su navegador y se le da la opción de vincularse con un correo electrónico diferente.
      2. NO: El flujo de OAuth Web se activa, el usuario es dirigido a su navegador, y el usuario tiene la opción de enlace con un correo electrónico diferente.
    2. NO: ¿Tiene el usuario una cuenta coincidente en su sistema de autenticación? ( check intent está llamado a confirmar)
      1. SÍ: get intent que se llama y la cuenta está vinculada si la intención obtener retornos con éxito.
      2. Nº: create intent que se llama y la cuenta está vinculada si la intención de crear rendimientos éxito.

Verifique si hay una cuenta de usuario existente (verifique la intención)

Una vez que el usuario da su consentimiento para acceder a su perfil de Google, Google envía una solicitud que contiene una afirmación firmada de la identidad del usuario de Google. La aserción contiene información que incluye el ID de la cuenta de Google, el nombre y la dirección de correo electrónico del usuario. El punto final de intercambio de tokens configurado para su proyecto maneja esa solicitud.

Si la correspondiente cuenta de Google ya está presente en su sistema de autenticación, sus responde intercambio de tokens de punto final con account_found=true . Si la cuenta de Google no se corresponde con un usuario existente, el punto final Cambio de Ficha devuelve un error HTTP 404 No se ha encontrado con account_found=false .

La solicitud tiene la siguiente forma:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&intent=check&assertion=JWT&scope=SCOPES

Su punto final de intercambio de tokens debe poder manejar los siguientes parámetros:

Parámetros de punto final de token
intent Para estas solicitudes, el valor de este parámetro es check .
grant_type El tipo de token que se intercambia. Para estas solicitudes, este parámetro tiene el valor urn:ietf:params:oauth:grant-type:jwt-bearer .
assertion Un token web JSON (JWT) que proporciona una afirmación firmada de la identidad del usuario de Google. El JWT contiene información que incluye el ID de la cuenta de Google, el nombre y la dirección de correo electrónico del usuario.

Para responder a los check solicitudes intención, su punto final el intercambio token debe realizar los siguientes pasos:

  • Valide y decodifique la afirmación JWT.
  • Compruebe si la cuenta de Google ya está presente en su sistema de autenticación.
验证并解码JWT断言

您可以使用针对您的语言JWT解码库来验证和解码JWT断言。使用Google的JWKPEM格式的公钥来验证令牌的签名。

解码后,JWT断言类似于以下示例:

{
  "sub": "1234567890",      // The unique ID of the user's Google Account
  "iss": "https://accounts.google.com",        // The assertion's issuer
  "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID
  "iat": 233366400,         // Unix timestamp of the assertion's creation time
  "exp": 233370000,         // Unix timestamp of the assertion's expiration time
  "name": "Jan Jansen",
  "given_name": "Jan",
  "family_name": "Jansen",
  "email": "jan@gmail.com", // If present, the user's email address
  "email_verified": true,   // true, if Google has verified the email address
  "hd": "example.com",      // If present, the host domain of the user's GSuite email address
                            // If present, a URL to user's profile picture
  "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ",
  "locale": "en_US"         // User's locale, from browser or phone settings
}

除了验证令牌的签名外,还要验证断言的颁发者( iss字段)为https://accounts.google.com ,受众( aud字段)是您分配的客户端ID,并且令牌尚未过期( exp场地)。

使用emailemail_verifiedhd字段,您可以确定Google是否托管电子邮件地址并对其具有权威性。如果Google具有权威性,则当前已知该用户为合法帐户所有者,您可以跳过密码或其他挑战方法。否则,可以使用这些方法在链接之前验证帐户。

Google具有权威性的情况:

  • email后缀为@gmail.com ,这是一个Gmail帐户。
  • email_verified为true并且设置了hd ,这是一个G Suite帐户。

用户可以在不使用Gmail或G Suite的情况下注册Google帐户。如果email不包含@gmail.com后缀,并且没有hd则Google并不具有权威性,建议您使用密码或其他验证方法来验证用户。当Google在创建Google帐户时最初验证了用户时, email_verfied也可能为true,但是此后第三方电子邮件帐户的所有权可能已更改。

Compruebe si la cuenta de Google ya está presente en su sistema de autenticación

Compruebe si alguna de las siguientes condiciones es verdadera:

  • El Google ID de cuenta, que se encuentra en la afirmación de la sub campo, se encuentra en la base de datos de usuario.
  • La dirección de correo electrónico en la aserción coincide con un usuario en su base de datos de usuarios.

Si cualquiera de las condiciones es verdadera, el usuario ya se ha registrado. En ese caso, devuelva una respuesta como la siguiente:

HTTP/1.1 200 Success
Content-Type: application/json;charset=UTF-8

{
  "account_found":"true",
}

Si ni el ID de la cuenta de Google ni la dirección de correo electrónico especificada en la afirmación coinciden con un usuario en su base de datos, el usuario aún no se ha registrado. En este caso, el punto final Cambio de Ficha necesita para responder con un error de HTTP 404 que especifica "account_found": "false" , como en el siguiente ejemplo:

HTTP/1.1 404 Not found
Content-Type: application/json;charset=UTF-8

{
  "account_found":"false",
}

处理自动链接(获取意图)

在用户同意访问其 Google 个人资料后,Google 会发送一个请求,其中包含对 Google 用户身份的签名声明。该断言包含的信息包括用户的 Google 帐户 ID、姓名和电子邮件地址。为您的项目配置的令牌交换端点处理该请求。

如果您的身份验证系统中已存在相应的 Google 帐户,则您的令牌交换端点会为用户返回一个令牌。如果谷歌帐户没有现有用户相匹配,您的令牌交换终结返回linking_error错误和可选login_hint

该请求具有以下形式:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&intent=get&assertion=JWT&scope=SCOPES

您的令牌交换端点必须能够处理以下参数:

令牌端点参数
intent对于这些请求,这个参数的值是get
grant_type正在交换的令牌类型。对于这些请求,这个参数的值是urn:ietf:params:oauth:grant-type:jwt-bearer
assertion一个 JSON Web 令牌 (JWT),它提供了对 Google 用户身份的签名断言。 JWT 包含的信息包括用户的 Google 帐户 ID、姓名和电子邮件地址。
scope可选:任何作用域,你已经配置了谷歌从用户的请求。

要在响应get意图的要求,你的令牌交换,端点必须执行以下步骤:

  • 验证和解码 JWT 断言。
  • 检查 Google 帐户是否已存在于您的身份验证系统中。
验证并解码JWT断言

您可以使用针对您的语言JWT解码库来验证和解码JWT断言。使用Google的JWKPEM格式的公钥来验证令牌的签名。

解码后,JWT断言类似于以下示例:

{
  "sub": "1234567890",      // The unique ID of the user's Google Account
  "iss": "https://accounts.google.com",        // The assertion's issuer
  "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID
  "iat": 233366400,         // Unix timestamp of the assertion's creation time
  "exp": 233370000,         // Unix timestamp of the assertion's expiration time
  "name": "Jan Jansen",
  "given_name": "Jan",
  "family_name": "Jansen",
  "email": "jan@gmail.com", // If present, the user's email address
  "email_verified": true,   // true, if Google has verified the email address
  "hd": "example.com",      // If present, the host domain of the user's GSuite email address
                            // If present, a URL to user's profile picture
  "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ",
  "locale": "en_US"         // User's locale, from browser or phone settings
}

除了验证令牌的签名外,还要验证断言的颁发者( iss字段)为https://accounts.google.com ,受众( aud字段)是您分配的客户端ID,并且令牌尚未过期( exp场地)。

使用emailemail_verifiedhd字段,您可以确定Google是否托管电子邮件地址并对其具有权威性。如果Google具有权威性,则当前已知该用户为合法帐户所有者,您可以跳过密码或其他挑战方法。否则,可以使用这些方法在链接之前验证帐户。

Google具有权威性的情况:

  • email后缀为@gmail.com ,这是一个Gmail帐户。
  • email_verified为true并且设置了hd ,这是一个G Suite帐户。

用户可以在不使用Gmail或G Suite的情况下注册Google帐户。如果email不包含@gmail.com后缀,并且没有hd则Google并不具有权威性,建议您使用密码或其他验证方法来验证用户。当Google在创建Google帐户时最初验证了用户时, email_verfied也可能为true,但是此后第三方电子邮件帐户的所有权可能已更改。

检查您的身份验证系统中是否已存在 Google 帐户

检查是否满足以下任一条件:

  • 该谷歌帐户ID,在断言的发现sub场,是在你的用户数据库。
  • 断言中的电子邮件地址与用户数据库中的用户匹配。

如果发现用户的账号,发出的访问令牌,并在您的HTTPS响应的主体在下面的例子中JSON对象返回的值,比如:

{
  "token_type": "Bearer",
  "access_token": "ACCESS_TOKEN",

  "expires_in": SECONDS_TO_EXPIRATION
}

在某些情况下,用户基于 ID 令牌的帐户链接可能会失败。如果它这样做以任何理由,你的令牌交换端点需要用HTTP回复401错误指定error=linking_error ,如下例所示:

HTTP/1.1 401 Unauthorized
Content-Type: application/json;charset=UTF-8

{
  "error":"linking_error",
  "login_hint":"foo@bar.com"
}

当谷歌收到401错误响应linking_error ,谷歌会将用户带到你的授权端点login_hint作为参数。用户使用浏览器中的 OAuth 链接流程完成帐户链接。

通过 Google 登录处理帐户创建(创建意图)

当用户需要在您的服务上创建帐户时,Google 会向您的令牌交换端点发出请求,指定intent=create

该请求具有以下形式:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

response_type=token&grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&scope=SCOPES&intent=create&assertion=JWT

您的令牌交换端点必须能够处理以下参数:

令牌端点参数
intent对于这些请求,此参数的值为create
grant_type正在交换的令牌类型。对于这些请求,此参数的值为urn:ietf:params:oauth:grant-type:jwt-bearer
assertion一个 JSON Web 令牌 (JWT),它提供了对 Google 用户身份的签名断言。 JWT 包含的信息包括用户的 Google 帐户 ID、姓名和电子邮件地址。

assertion参数中的 JWT 包含用户的 Google 帐户 ID、姓名和电子邮件地址,您可以使用它们在您的服务上创建新帐户。

要响应create意图请求,您的令牌交换端点必须执行以下步骤:

  • 验证和解码 JWT 断言。
  • 验证用户信息并创建新帐户。
验证并解码JWT断言

您可以使用针对您的语言JWT解码库来验证和解码JWT断言。使用Google的JWKPEM格式的公钥来验证令牌的签名。

解码后,JWT断言类似于以下示例:

{
  "sub": "1234567890",      // The unique ID of the user's Google Account
  "iss": "https://accounts.google.com",        // The assertion's issuer
  "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID
  "iat": 233366400,         // Unix timestamp of the assertion's creation time
  "exp": 233370000,         // Unix timestamp of the assertion's expiration time
  "name": "Jan Jansen",
  "given_name": "Jan",
  "family_name": "Jansen",
  "email": "jan@gmail.com", // If present, the user's email address
  "email_verified": true,   // true, if Google has verified the email address
  "hd": "example.com",      // If present, the host domain of the user's GSuite email address
                            // If present, a URL to user's profile picture
  "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ",
  "locale": "en_US"         // User's locale, from browser or phone settings
}

除了验证令牌的签名外,还要验证断言的颁发者( iss字段)为https://accounts.google.com ,受众( aud字段)是您分配的客户端ID,并且令牌尚未过期( exp场地)。

使用emailemail_verifiedhd字段,您可以确定Google是否托管电子邮件地址并对其具有权威性。如果Google具有权威性,则当前已知该用户为合法帐户所有者,您可以跳过密码或其他挑战方法。否则,可以使用这些方法在链接之前验证帐户。

Google具有权威性的情况:

  • email后缀为@gmail.com ,这是一个Gmail帐户。
  • email_verified为true并且设置了hd ,这是一个G Suite帐户。

用户可以在不使用Gmail或G Suite的情况下注册Google帐户。如果email不包含@gmail.com后缀,并且没有hd则Google并不具有权威性,建议您使用密码或其他验证方法来验证用户。当Google在创建Google帐户时最初验证了用户时, email_verfied也可能为true,但是此后第三方电子邮件帐户的所有权可能已更改。

验证用户信息并创建新帐户

检查是否满足以下任一条件:

  • 在断言的sub字段中找到的 Google 帐户 ID 位于您的用户数据库中。
  • 断言中的电子邮件地址与用户数据库中的用户匹配。

如果任一条件为真,则提示用户将其现有帐户与其 Google 帐户相关联。为此,请使用 HTTP 401 错误响应请求,指定error=linking_error并将用户的电子邮件地址作为login_hint 。以下是示例响应:

HTTP/1.1 401 Unauthorized
Content-Type: application/json;charset=UTF-8

{
  "error":"linking_error",
  "login_hint":"foo@bar.com"
}

当 Google 收到带有linking_error的 401 错误响应时,Google 会将用户发送到您的授权端点, login_hint作为参数。用户使用浏览器中的 OAuth 链接流程完成帐户链接。

如果两个条件都不成立,请使用 JWT 中提供的信息创建一个新用户帐户。新帐户通常没有设置密码。建议您将 Google Sign-In 添加到其他平台,以使用户能够通过您的应用程序界面使用 Google 登录。或者,您可以通过电子邮件向用户发送启动密码恢复流程的链接,以允许用户设置密码以在其他平台上登录。

创建完成后,发出访问令牌 并在 HTTPS 响应的正文中返回 JSON 对象中的值,如下例所示:

{
  "token_type": "Bearer",
  "access_token": "ACCESS_TOKEN",

  "expires_in": SECONDS_TO_EXPIRATION
}

Obtenga su ID de cliente de la API de Google

Se le pedirá que proporcione su ID de Google API de cliente durante el enlace de cuentas de registro de proceso.

Para obtener su API ID de cliente utilizando el proyecto que ha creado al completar los OAuth Linking pasos. Para hacerlo, complete los siguientes pasos:

  1. Abra la página Credenciales de la consola de API de Google .
  2. Cree o seleccione un proyecto de API de Google.

    Si el proyecto no tiene un ID de cliente para el tipo de aplicación Web, haga clic en Crear credenciales> OAuth ID de cliente para crear una. Asegúrese de incluir el dominio de su sitio en el palco de los orígenes de JavaScript autorizados. Al realizar pruebas o desarrollo locales, debe agregar tanto http://localhost y http://localhost:<port_number> al campo orígenes JavaScript autorizado.

Validando su implementación

您可以通过使用验证实现的OAuth 2.0游乐场工具。

在工具中,执行以下步骤:

  1. 单击配置打开的OAuth 2.0配置窗口。
  2. OAuth流场中,选择客户端
  3. OAuth端点字段中,选择自定义
  4. 在相应字段中指定您的 OAuth 2.0 端点和您分配给 Google 的客户端 ID。
  5. 步骤1部分,不要选择任何谷歌范围。相反,将此字段留空或键入对您的服务器有效的范围(如果不使用 OAuth 范围,则输入任意字符串)。当您完成后,单击授权的API。
  6. 步骤2步骤3段,完成OAuth 2.0流程和验证每个步骤按预期工作。

您可以通过验证您的实现谷歌帐户链接演示工具。

在工具中,执行以下步骤:

  1. 点击登录在与谷歌按钮。
  2. 选择您要关联的帐户。
  3. 输入服务标识。
  4. (可选)输入您将请求访问的一个或多个范围。
  5. 单击开始演示
  6. 出现提示时,确认您可以同意并拒绝链接请求。
  7. 确认您被重定向到您的平台。