Association simplifiée avec OAuth et Google Sign-In

Présentation

L'association simplifiée Google Sign-In à Google Sign-In vient compléter l'association OAuth. Les utilisateurs de Google bénéficient ainsi d'une expérience fluide. De plus, ils peuvent créer un compte, ce qui leur permet de créer un compte sur votre service à l'aide de leur compte Google.

Pour effectuer l'association de comptes avec OAuth et Google Sign-In, procédez comme suit:

  1. Tout d'abord, demandez à l'utilisateur d'autoriser l'accès à son profil Google.
  2. Utilisez les informations de leur profil pour vérifier si le compte utilisateur existe.
  3. Pour les utilisateurs existants, associez les comptes.
  4. Si vous ne trouvez pas de correspondance pour l'utilisateur Google dans votre système d'authentification, validez le jeton d'ID envoyé par Google. Vous pouvez ensuite créer un utilisateur à partir des informations de profil contenues dans le jeton d'ID.
Cette figure illustre les étapes à suivre pour associer un compte Google à l'aide du processus simplifié. La première capture d'écran montre comment un utilisateur peut sélectionner votre application pour l'associer. La deuxième capture d'écran permet à l'utilisateur de vérifier s'il possède déjà un compte sur votre service. La troisième capture d'écran permet à l'utilisateur de sélectionner le compte Google qu'il souhaite associer. La quatrième capture d'écran montre la confirmation d'association de son compte Google à votre appli. La cinquième capture d'écran montre un compte utilisateur associé dans l'appli Google.

Figure 1 : Association de compte sur le téléphone d'un utilisateur avec l'association simplifiée

Conditions requises pour l'association simplifiée

  • Mettez en œuvre le flux Association de base Web OAuth. Votre service doit être compatible avec les points de terminaison d'autorisation et d'échange de jetons conformes à OAuth 2.0.
  • Votre point de terminaison Token Exchange doit accepter les assertions JSON Web Token (JWT) et implémenter les intents check, create et get.

Implémenter votre serveur OAuth

Votre point de terminaison d'échange de jetons doit accepter les intents check, create et get. Vous trouverez ci-dessous les étapes terminées lors du processus d'association de comptes, ainsi que le moment où les différents intents sont appelés:

  1. L'utilisateur possède-t-il un compte dans votre système d'authentification ? (L'utilisateur décide en sélectionnant "OUI" ou "NON")
    1. OUI : l'utilisateur se sert-il de l'adresse e-mail associée à son compte Google pour se connecter à votre plate-forme ? (L'utilisateur décide en sélectionnant "OUI" ou "NON")
      1. OUI : l'utilisateur a-t-il un compte correspondant dans votre système d'authentification ? (check intent est appelé pour confirmer).
        1. OUI : get intent est appelé et le compte est associé si l'intent get renvoie un résultat positif.
        2. NON : Créer un compte ? (L'utilisateur décide en sélectionnant "OUI" ou "NON")
          1. OUI : la méthode create intent est appelée. Si l'intent de création est bien renvoyé, le compte est associé.
          2. NON : le flux OAuth Web est déclenché, l'utilisateur est dirigé vers son navigateur et il a la possibilité de créer une association à une autre adresse e-mail.
      2. NON : le flux OAuth du Web est déclenché, et l'utilisateur est redirigé vers son navigateur et a la possibilité de créer une association à une autre adresse e-mail.
    2. NON : l'utilisateur dispose-t-il d'un compte correspondant dans votre système d'authentification ? (check intent est appelé pour confirmer).
      1. OUI : get intent est appelé et le compte est associé si l'intent get renvoie un résultat positif.
      2. NON : create intent est appelé et le compte est associé si l'intent de création aboutit.

Rechercher un compte utilisateur existant (vérifier l'intent)

Une fois que l'utilisateur a autorisé l'accès à son profil Google, Google envoie une requête contenant une assertion signée de l'identité de l'utilisateur Google. L'assertion contient des informations qui incluent l'ID de compte Google, le nom et l'adresse e-mail de l'utilisateur. Le point de terminaison d'échange de jetons configuré pour votre projet gère cette requête.

Si le compte Google correspondant est déjà présent dans votre système d'authentification, votre point de terminaison d'échange de jetons répond avec account_found=true. Si le compte Google ne correspond à aucun utilisateur existant, le point de terminaison de votre échange de jetons affiche une erreur HTTP 404 "Introuvable" avec account_found=false.

La requête se présente comme suit:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&intent=check&assertion=JWT&scope=SCOPES&client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET

Votre point de terminaison d'échange de jetons doit pouvoir gérer les paramètres suivants:

Paramètres du point de terminaison du jeton
intent Pour ces requêtes, la valeur de ce paramètre est check.
grant_type Type de jeton échangé. Pour ces requêtes, ce paramètre a la valeur urn:ietf:params:oauth:grant-type:jwt-bearer.
assertion Jeton Web JSON (JWT, JSON Web Token) qui fournit une assertion signée de l'identité de l'utilisateur Google. Le jeton JWT contient des informations qui incluent l'ID de compte, le nom et l'adresse e-mail du compte Google de l'utilisateur.
client_id ID client que vous avez attribué à Google.
client_secret Code secret du client que vous avez attribué à Google.

Pour répondre aux requêtes d'intent check, le point de terminaison de votre échange de jetons doit procéder comme suit:

  • Validez et décodez l'assertion JWT.
  • Vérifiez si le compte Google existe déjà dans votre système d'authentification.
Valider et décoder l'assertion JWT

Vous pouvez valider et décoder l'assertion JWT à l'aide d'une bibliothèque de décodage JWT pour votre langue . Utilisez les clés publiques de Google, disponibles aux formats JWK ou PEM , pour vérifier la signature du jeton.

Une fois décodée, l'assertion JWT ressemble à l'exemple suivant:

{
  "sub": "1234567890",      // The unique ID of the user's Google Account
  "iss": "https://accounts.google.com",        // The assertion's issuer
  "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID
  "iat": 233366400,         // Unix timestamp of the assertion's creation time
  "exp": 233370000,         // Unix timestamp of the assertion's expiration time
  "name": "Jan Jansen",
  "given_name": "Jan",
  "family_name": "Jansen",
  "email": "jan@gmail.com", // If present, the user's email address
  "email_verified": true,   // true, if Google has verified the email address
  "hd": "example.com",      // If present, the host domain of the user's GSuite email address
                            // If present, a URL to user's profile picture
  "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ",
  "locale": "en_US"         // User's locale, from browser or phone settings
}

En plus de vérifier la signature du jeton, vérifiez que l'émetteur de l'assertion (champ iss ) est https://accounts.google.com , que l'audience (champ aud ) est votre ID client attribué et que le jeton n'a pas expiré ( exp domaine).

En utilisant les champs email , email_verified et hd , vous pouvez déterminer si Google héberge et fait autorité pour une adresse e-mail. Dans les cas où Google fait autorité, l'utilisateur est actuellement connu comme le propriétaire légitime du compte et vous pouvez ignorer le mot de passe ou d'autres méthodes de contestation. Sinon, ces méthodes peuvent être utilisées pour vérifier le compte avant de lier.

Cas où Google fait autorité:

  • email a un suffixe @gmail.com , c'est un compte Gmail.
  • email_verified est true et hd est défini, il s'agit d'un compte G Suite.

Les utilisateurs peuvent s'inscrire à des comptes Google sans utiliser Gmail ou G Suite. Lorsque l' email - email ne contient pas de suffixe @gmail.com et que hd est absent, Google ne fait pas autorité et un mot de passe ou d'autres méthodes de défi sont recommandés pour vérifier l'utilisateur. email_verfied peut également être vrai car Google a initialement vérifié l'utilisateur lors de la création du compte Google, mais la propriété du compte de messagerie tiers peut avoir changé depuis.

Vérifiez si le compte Google est déjà présent dans votre système d'authentification.

Vérifiez si l'une des conditions suivantes est remplie:

  • L'ID de compte Google, figurant dans le champ sub des assertions, se trouve dans votre base de données utilisateur.
  • L'adresse e-mail indiquée dans cette assertion correspond à un utilisateur de votre base de données.

Si l'une des deux conditions est remplie, l'utilisateur s'est déjà inscrit. Dans ce cas, renvoyez une réponse semblable à celle-ci:

HTTP/1.1 200 Success
Content-Type: application/json;charset=UTF-8

{
  "account_found":"true",
}

Si ni l'ID de compte Google, ni l'adresse e-mail spécifiées dans l'assertion ne correspondent à un utilisateur de votre base de données, celui-ci ne s'est pas encore inscrit. Dans ce cas, le point de terminaison de votre échange de jetons doit répondre par une erreur HTTP 404 spécifiant "account_found": "false", comme dans l'exemple suivant:

HTTP/1.1 404 Not found
Content-Type: application/json;charset=UTF-8

{
  "account_found":"false",
}

Gérer l'association automatique (obtenir l'intent)

Une fois que l'utilisateur a autorisé l'accès à son profil Google, Google envoie une requête contenant une assertion signée de l'identité de l'utilisateur Google. L'assertion contient des informations qui incluent l'ID de compte Google, le nom et l'adresse e-mail de l'utilisateur. Le point de terminaison d'échange de jetons configuré pour votre projet gère cette requête.

Si le compte Google correspondant est déjà présent dans votre système d'authentification, votre point de terminaison d'échange de jetons affiche un jeton pour l'utilisateur. Si le compte Google ne correspond à aucun utilisateur existant, le point de terminaison de votre échange de jetons renvoie une erreur linking_error et un login_hint facultatif.

La requête se présente comme suit:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&intent=get&assertion=JWT&scope=SCOPES&client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET

Votre point de terminaison d'échange de jetons doit pouvoir gérer les paramètres suivants:

Paramètres du point de terminaison du jeton
intent Pour ces requêtes, la valeur de ce paramètre est get.
grant_type Type de jeton échangé. Pour ces requêtes, ce paramètre a la valeur urn:ietf:params:oauth:grant-type:jwt-bearer.
assertion Jeton Web JSON (JWT, JSON Web Token) qui fournit une assertion signée de l'identité de l'utilisateur Google. Le jeton JWT contient des informations qui incluent l'ID de compte, le nom et l'adresse e-mail du compte Google de l'utilisateur.
scope Facultatif : toutes les habilitations que vous avez configurées pour les requêtes des utilisateurs.
client_id ID client que vous avez attribué à Google.
client_secret Code secret du client que vous avez attribué à Google.

Pour répondre aux requêtes d'intent get, le point de terminaison de votre échange de jetons doit procéder comme suit:

  • Validez et décodez l'assertion JWT.
  • Vérifiez si le compte Google existe déjà dans votre système d'authentification.
Valider et décoder l'assertion JWT

Vous pouvez valider et décoder l'assertion JWT à l'aide d'une bibliothèque de décodage JWT pour votre langue . Utilisez les clés publiques de Google, disponibles aux formats JWK ou PEM , pour vérifier la signature du jeton.

Une fois décodée, l'assertion JWT ressemble à l'exemple suivant:

{
  "sub": "1234567890",      // The unique ID of the user's Google Account
  "iss": "https://accounts.google.com",        // The assertion's issuer
  "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID
  "iat": 233366400,         // Unix timestamp of the assertion's creation time
  "exp": 233370000,         // Unix timestamp of the assertion's expiration time
  "name": "Jan Jansen",
  "given_name": "Jan",
  "family_name": "Jansen",
  "email": "jan@gmail.com", // If present, the user's email address
  "email_verified": true,   // true, if Google has verified the email address
  "hd": "example.com",      // If present, the host domain of the user's GSuite email address
                            // If present, a URL to user's profile picture
  "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ",
  "locale": "en_US"         // User's locale, from browser or phone settings
}

En plus de vérifier la signature du jeton, vérifiez que l'émetteur de l'assertion (champ iss ) est https://accounts.google.com , que l'audience (champ aud ) est votre ID client attribué et que le jeton n'a pas expiré ( exp domaine).

En utilisant les champs email , email_verified et hd , vous pouvez déterminer si Google héberge et fait autorité pour une adresse e-mail. Dans les cas où Google fait autorité, l'utilisateur est actuellement connu comme le propriétaire légitime du compte et vous pouvez ignorer le mot de passe ou d'autres méthodes de contestation. Sinon, ces méthodes peuvent être utilisées pour vérifier le compte avant de lier.

Cas où Google fait autorité:

  • email a un suffixe @gmail.com , c'est un compte Gmail.
  • email_verified est true et hd est défini, il s'agit d'un compte G Suite.

Les utilisateurs peuvent s'inscrire à des comptes Google sans utiliser Gmail ou G Suite. Lorsque l' email - email ne contient pas de suffixe @gmail.com et que hd est absent, Google ne fait pas autorité et un mot de passe ou d'autres méthodes de défi sont recommandés pour vérifier l'utilisateur. email_verfied peut également être vrai car Google a initialement vérifié l'utilisateur lors de la création du compte Google, mais la propriété du compte de messagerie tiers peut avoir changé depuis.

Vérifiez si le compte Google est déjà présent dans votre système d'authentification.

Vérifiez si l'une des conditions suivantes est remplie:

  • L'ID de compte Google, figurant dans le champ sub des assertions, se trouve dans votre base de données utilisateur.
  • L'adresse e-mail indiquée dans cette assertion correspond à un utilisateur de votre base de données.

Si un compte est détecté pour l'utilisateur, émettez un jeton d'accès et renvoyez les valeurs d'un objet JSON dans le corps de votre réponse HTTPS, comme dans l'exemple suivant :

{
  "token_type": "Bearer",
  "access_token": "ACCESS_TOKEN",

  "expires_in": SECONDS_TO_EXPIRATION
}

Dans certains cas, l'association de comptes basée sur le jeton d'ID peut échouer. Si c'est le cas, pour une raison quelconque, votre point de terminaison d'échange de jetons doit répondre par une erreur HTTP 401 spécifiant error=linking_error:

HTTP/1.1 401 Unauthorized
Content-Type: application/json;charset=UTF-8

{
  "error":"linking_error",
  "login_hint":"foo@bar.com"
}

Lorsque Google reçoit une réponse d'erreur 401 avec linking_error, il envoie l'utilisateur à votre point de terminaison d'autorisation avec le paramètre login_hint. L'utilisateur effectue l'association de compte à l'aide du flux d'association OAuth dans son navigateur.

Gérer la création de compte via Google Sign-In (créer un intent)

Lorsqu'un utilisateur doit créer un compte sur votre service, Google envoie une requête à votre point de terminaison d'échange de jetons qui spécifie intent=create.

La requête se présente comme suit:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

response_type=token&grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&scope=SCOPES&intent=create&assertion=JWT&client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET

Votre point de terminaison d'échange de jetons doit pouvoir gérer les paramètres suivants:

Paramètres du point de terminaison du jeton
intent Pour ces requêtes, la valeur de ce paramètre est create.
grant_type Type de jeton échangé. Pour ces requêtes, ce paramètre a la valeur urn:ietf:params:oauth:grant-type:jwt-bearer.
assertion Jeton Web JSON (JWT, JSON Web Token) qui fournit une assertion signée de l'identité de l'utilisateur Google. Le jeton JWT contient des informations qui incluent l'ID de compte, le nom et l'adresse e-mail du compte Google de l'utilisateur.
client_id ID client que vous avez attribué à Google.
client_secret Code secret du client que vous avez attribué à Google.

Le JWT dans le paramètre assertion contient l'ID de compte, le nom et l'adresse e-mail Google que vous pouvez utiliser pour créer un compte sur votre service.

Pour répondre aux requêtes d'intent create, le point de terminaison de votre échange de jetons doit procéder comme suit:

  • Validez et décodez l'assertion JWT.
  • Validez les informations utilisateur et créez un nouveau compte.
Valider et décoder l'assertion JWT

Vous pouvez valider et décoder l'assertion JWT à l'aide d'une bibliothèque de décodage JWT pour votre langue . Utilisez les clés publiques de Google, disponibles aux formats JWK ou PEM , pour vérifier la signature du jeton.

Une fois décodée, l'assertion JWT ressemble à l'exemple suivant:

{
  "sub": "1234567890",      // The unique ID of the user's Google Account
  "iss": "https://accounts.google.com",        // The assertion's issuer
  "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID
  "iat": 233366400,         // Unix timestamp of the assertion's creation time
  "exp": 233370000,         // Unix timestamp of the assertion's expiration time
  "name": "Jan Jansen",
  "given_name": "Jan",
  "family_name": "Jansen",
  "email": "jan@gmail.com", // If present, the user's email address
  "email_verified": true,   // true, if Google has verified the email address
  "hd": "example.com",      // If present, the host domain of the user's GSuite email address
                            // If present, a URL to user's profile picture
  "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ",
  "locale": "en_US"         // User's locale, from browser or phone settings
}

En plus de vérifier la signature du jeton, vérifiez que l'émetteur de l'assertion (champ iss ) est https://accounts.google.com , que l'audience (champ aud ) est votre ID client attribué et que le jeton n'a pas expiré ( exp domaine).

En utilisant les champs email , email_verified et hd , vous pouvez déterminer si Google héberge et fait autorité pour une adresse e-mail. Dans les cas où Google fait autorité, l'utilisateur est actuellement connu comme le propriétaire légitime du compte et vous pouvez ignorer le mot de passe ou d'autres méthodes de contestation. Sinon, ces méthodes peuvent être utilisées pour vérifier le compte avant de lier.

Cas où Google fait autorité:

  • email a un suffixe @gmail.com , c'est un compte Gmail.
  • email_verified est true et hd est défini, il s'agit d'un compte G Suite.

Les utilisateurs peuvent s'inscrire à des comptes Google sans utiliser Gmail ou G Suite. Lorsque l' email - email ne contient pas de suffixe @gmail.com et que hd est absent, Google ne fait pas autorité et un mot de passe ou d'autres méthodes de défi sont recommandés pour vérifier l'utilisateur. email_verfied peut également être vrai car Google a initialement vérifié l'utilisateur lors de la création du compte Google, mais la propriété du compte de messagerie tiers peut avoir changé depuis.

Valider les informations utilisateur et créer un compte

Vérifiez si l'une des conditions suivantes est remplie:

  • L'ID de compte Google, figurant dans le champ sub des assertions, se trouve dans votre base de données utilisateur.
  • L'adresse e-mail indiquée dans cette assertion correspond à un utilisateur de votre base de données.

Si l'une des deux conditions est remplie, demandez à l'utilisateur d'associer son compte existant à son compte Google. Pour ce faire, répondez à la requête avec une erreur HTTP 401 indiquant error=linking_error et indiquant l'adresse e-mail de l'utilisateur comme login_hint. Voici un exemple de réponse:

HTTP/1.1 401 Unauthorized
Content-Type: application/json;charset=UTF-8

{
  "error":"linking_error",
  "login_hint":"foo@bar.com"
}

Lorsque Google reçoit une réponse d'erreur 401 avec linking_error, il envoie l'utilisateur à votre point de terminaison d'autorisation avec le paramètre login_hint. L'utilisateur effectue l'association de compte à l'aide du flux d'association OAuth dans son navigateur.

Si aucune condition n'est remplie, créez un compte utilisateur avec les informations fournies dans le jeton JWT. Les nouveaux comptes n'ont généralement pas de mot de passe. Nous vous recommandons d'ajouter Google Sign-In à d'autres plates-formes pour permettre aux utilisateurs de se connecter avec Google sur les différentes plates-formes de votre application. Vous pouvez également envoyer à l'utilisateur un lien permettant de lancer la procédure de récupération de mot de passe pour lui permettre de définir un mot de passe pour se connecter sur d'autres plates-formes.

Une fois la création terminée, générez un jeton d'accès , puis renvoyez les valeurs dans un objet JSON dans le corps de votre réponse HTTPS, comme dans l'exemple suivant :

{
  "token_type": "Bearer",
  "access_token": "ACCESS_TOKEN",

  "expires_in": SECONDS_TO_EXPIRATION
}

Obtenir votre ID client pour les API Google

Vous devrez fournir votre ID client pour l'API Google lors du processus d'enregistrement de l'association de comptes.

Pour obtenir votre ID client d'API à l'aide du projet que vous avez créé lors de la procédure d'association OAuth, procédez comme suit : Pour cela, procédez comme suit :

  1. Ouvrez la page Identifiants de la console Google APIs.
  2. Créez ou sélectionnez un projet d'API Google.

    Si votre projet ne dispose pas d'un ID client pour le type d'application Web, cliquez sur Créer des identifiants > ID client OAuth pour en créer un. Veillez à inclure le domaine de votre site dans le champ Origines JavaScript autorisées. Lorsque vous effectuez des tests ou un développement en local, vous devez ajouter http://localhost et http://localhost:<port_number> au champ Origines JavaScript autorisées.

Valider votre intégration

Vous pouvez valider votre implémentation en utilisant le Playground OAuth 2.0 outil.

Dans l'outil, procédez comme suit :

  1. Cliquez sur Configuration des pour ouvrir la fenêtre Configuration OAuth 2.0.
  2. Dans le champ d'écoulement OAuth, sélectionnez côté client.
  3. Dans le domaine Endpoints OAuth, sélectionnez Personnalisé.
  4. Spécifiez votre point de terminaison OAuth 2.0 et l'ID client que vous avez attribué à Google dans les champs correspondants.
  5. Dans la section Étape 1, ne sélectionnez pas de champs Google. Au lieu de cela, laissez ce champ vide ou saisissez une étendue valide pour votre serveur (ou une chaîne arbitraire si vous n'utilisez pas d'étendues OAuth). Lorsque vous avez terminé, cliquez sur Autoriser les API.
  6. Dans les étapes 2 et 3 sections, passez par le flux OAuth 2.0 et vérifiez que chaque étape fonctionne comme prévu.

Vous pouvez valider votre implémentation en utilisant le compte Google Linking Demo outil.

Dans l'outil, procédez comme suit :

  1. Cliquez sur le signe-avec le bouton Google.
  2. Choisissez le compte que vous souhaitez associer.
  3. Saisissez l'ID du service.
  4. Saisissez éventuellement une ou plusieurs étendues pour lesquelles vous demanderez l'accès.
  5. Cliquez sur Démarrer démo.
  6. Lorsque vous y êtes invité, confirmez que vous pouvez consentir et refuser la demande d'association.
  7. Confirmez que vous êtes redirigé vers votre plateforme.