Penautan yang Disederhanakan dengan OAuth dan Login dengan Google

Ringkasan

Berbasis OAuth Google Sign-In Efisien linking menambahkan Google Sign-In di atas OAuth menghubungkan . Ini memberikan pengalaman penautan yang mulus bagi pengguna Google, dan juga memungkinkan pembuatan akun, yang memungkinkan pengguna membuat akun baru di layanan Anda menggunakan akun Google mereka.

Untuk melakukan penautan akun dengan OAuth dan Google Sign-In, ikuti langkah-langkah umum berikut:

  1. Pertama, minta pengguna untuk memberikan persetujuan untuk mengakses profil Google mereka.
  2. Gunakan informasi di profil mereka untuk memeriksa apakah akun pengguna ada.
  3. Untuk pengguna yang sudah ada, tautkan akun.
  4. Jika Anda tidak dapat menemukan kecocokan untuk pengguna Google di sistem autentikasi Anda, validasi token ID yang diterima dari Google. Anda kemudian dapat membuat pengguna berdasarkan informasi profil yang terdapat dalam token ID.
Gambar ini menunjukkan langkah-langkah bagi pengguna untuk menautkan akun Google mereka menggunakan alur penautan yang disederhanakan. Tangkapan layar pertama menunjukkan bagaimana pengguna dapat memilih aplikasi Anda untuk ditautkan. Tangkapan layar kedua memungkinkan pengguna mengonfirmasi apakah mereka memiliki akun yang ada di layanan Anda atau tidak. Tangkapan layar ketiga memungkinkan pengguna memilih akun Google yang ingin mereka tautkan. Tangkapan layar keempat menunjukkan konfirmasi untuk menautkan akun Google mereka dengan aplikasi Anda. Tangkapan layar kelima menunjukkan akun pengguna yang berhasil ditautkan di aplikasi Google.

Gambar 1. Penautan Akun di ponsel pengguna dengan Penautan Efisien

Persyaratan untuk Penautan yang Disederhanakan

Terapkan server OAuth Anda

Anda endpoint pertukaran tanda harus mendukung check , create , get maksud. Di bawah ini menunjukkan langkah-langkah yang diselesaikan melalui alur penautan akun dan menunjukkan kapan maksud yang berbeda dipanggil:

  1. Apakah pengguna memiliki akun di sistem otentikasi Anda? (Pengguna memutuskan dengan memilih YA atau TIDAK)
    1. YA : Apakah pengguna menggunakan email yang terkait dengan akun Google mereka untuk masuk ke platform Anda? (Pengguna memutuskan dengan memilih YA atau TIDAK)
      1. YA : Apakah pengguna memiliki akun yang cocok di sistem otentikasi Anda? ( check intent dipanggil untuk mengkonfirmasi)
        1. YES: get intent disebut dan akun ini terkait jika mendapatkan hasil niat berhasil.
        2. TIDAK : Buat Akun Baru? (Pengguna memutuskan dengan memilih YA atau TIDAK)
          1. YES: create intent disebut dan akun ini terkait jika membuat kembali niat berhasil.
          2. TIDAK : Alur OAuth Web dipicu, pengguna diarahkan ke browser mereka, dan pengguna diberi opsi untuk menautkan dengan email yang berbeda.
      2. NO: The aliran Web OAuth dipicu, pengguna diarahkan ke browser mereka, dan pengguna diberikan pilihan untuk link dengan email yang berbeda.
    2. TIDAK : Apakah pengguna memiliki akun yang cocok di sistem otentikasi Anda? ( check intent dipanggil untuk mengkonfirmasi)
      1. YES: get intent disebut dan akun ini terkait jika mendapatkan hasil niat berhasil.
      2. NO: create intent disebut dan akun ini terkait jika membuat kembali niat berhasil.

Periksa akun pengguna yang ada (periksa maksud)

Setelah pengguna memberikan persetujuan untuk mengakses profil Google mereka, Google mengirimkan permintaan yang berisi pernyataan yang ditandatangani tentang identitas pengguna Google. Pernyataan tersebut berisi informasi yang mencakup ID Akun Google, nama, dan alamat email pengguna. Titik akhir pertukaran token yang dikonfigurasi untuk proyek Anda menangani permintaan itu.

Jika akun Google yang sesuai sudah hadir di sistem otentikasi Anda, token Anda pertukaran endpoint merespon dengan account_found=true . Jika akun Google tidak cocok pengguna yang ada, pertukaran endpoint token Anda mengembalikan HTTP 404 Not Found error dengan account_found=false .

Permintaan memiliki bentuk berikut:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&intent=check&assertion=JWT&scope=SCOPES

Titik akhir pertukaran token Anda harus dapat menangani parameter berikut:

Parameter titik akhir token
intent Untuk permintaan ini, nilai parameter ini adalah check .
grant_type Jenis token yang dipertukarkan. Untuk permintaan ini, parameter ini memiliki nilai urn:ietf:params:oauth:grant-type:jwt-bearer .
assertion JSON Web Token (JWT) yang memberikan pernyataan yang ditandatangani tentang identitas pengguna Google. JWT berisi informasi yang mencakup ID Akun Google pengguna, nama, dan alamat email.

Untuk menanggapi check permintaan niat, endpoint pertukaran token Anda harus melakukan langkah-langkah berikut:

  • Validasi dan decode pernyataan JWT.
  • Periksa apakah akun Google sudah ada di sistem otentikasi Anda.
Validasi dan dekode pernyataan JWT

Anda dapat memvalidasi dan mendekode pernyataan JWT dengan menggunakan perpustakaan decoding JWT untuk bahasa Anda . Gunakan kunci publik Google, tersedia dalam format JWK atau PEM , untuk memverifikasi tanda tangan token.

Saat didekodekan, pernyataan JWT terlihat seperti contoh berikut:

{
  "sub": "1234567890",      // The unique ID of the user's Google Account
  "iss": "https://accounts.google.com",        // The assertion's issuer
  "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID
  "iat": 233366400,         // Unix timestamp of the assertion's creation time
  "exp": 233370000,         // Unix timestamp of the assertion's expiration time
  "name": "Jan Jansen",
  "given_name": "Jan",
  "family_name": "Jansen",
  "email": "jan@gmail.com", // If present, the user's email address
  "email_verified": true,   // true, if Google has verified the email address
  "hd": "example.com",      // If present, the host domain of the user's GSuite email address
                            // If present, a URL to user's profile picture
  "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ",
  "locale": "en_US"         // User's locale, from browser or phone settings
}

Selain memverifikasi tanda tangan token, verifikasi bahwa penerbit pernyataan (bidang iss ) adalah https://accounts.google.com , bahwa audiens (bidang aud ) adalah ID klien yang Anda tetapkan, dan bahwa token belum kedaluwarsa ( exp bidang).

Dengan menggunakan bidang email , email_verified , dan hd Anda dapat menentukan apakah Google menghosting dan berwenang untuk sebuah alamat email. Jika Google berwenang, pengguna saat ini diketahui sebagai pemilik akun yang sah dan Anda dapat melewati sandi atau metode tantangan lainnya. Jika tidak, metode ini dapat digunakan untuk memverifikasi akun sebelum menautkan.

Kasus di mana Google berwibawa:

  • email memiliki akhiran @gmail.com , ini adalah akun Gmail.
  • email_verified benar dan hd disetel, ini adalah akun G Suite.

Pengguna dapat mendaftar untuk Akun Google tanpa menggunakan Gmail atau G Suite. Jika email tidak berisi akhiran @gmail.com dan hd tidak ada, Google tidak berwibawa dan sandi atau metode tantangan lainnya disarankan untuk memverifikasi pengguna. email_verfied juga bisa benar karena Google awalnya memverifikasi pengguna saat akun Google dibuat, namun kepemilikan akun email pihak ketiga mungkin telah berubah.

Periksa apakah akun Google sudah ada di sistem otentikasi Anda

Periksa apakah salah satu dari kondisi berikut ini benar:

  • Akun Google ID, ditemukan di pernyataan ini sub bidang, adalah dalam database pengguna Anda.
  • Alamat email dalam pernyataan cocok dengan pengguna di database pengguna Anda.

Jika salah satu kondisi benar, pengguna telah mendaftar. Dalam hal ini, kembalikan respons seperti berikut:

HTTP/1.1 200 Success
Content-Type: application/json;charset=UTF-8

{
  "account_found":"true",
}

Jika ID Akun Google maupun alamat email yang ditentukan dalam pernyataan tidak cocok dengan pengguna di database Anda, pengguna tersebut belum mendaftar. Dalam hal ini, pertukaran endpoint token Anda perlu membalas dengan HTTP 404 error yang menentukan "account_found": "false" , seperti dalam contoh berikut:

HTTP/1.1 404 Not found
Content-Type: application/json;charset=UTF-8

{
  "account_found":"false",
}

Menangani penautan otomatis (dapatkan maksud)

Setelah pengguna memberikan persetujuan untuk mengakses profil Google mereka, Google mengirimkan permintaan yang berisi pernyataan yang ditandatangani tentang identitas pengguna Google. Pernyataan tersebut berisi informasi yang mencakup ID Akun Google, nama, dan alamat email pengguna. Titik akhir pertukaran token yang dikonfigurasi untuk proyek Anda menangani permintaan itu.

Jika Akun Google yang sesuai sudah ada di sistem autentikasi Anda, titik akhir pertukaran token Anda akan mengembalikan token untuk pengguna. Jika Akun Google tidak cocok pengguna yang ada, pertukaran endpoint token Anda mengembalikan linking_error kesalahan dan opsional login_hint .

Permintaan memiliki bentuk berikut:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&intent=get&assertion=JWT&scope=SCOPES

Titik akhir pertukaran token Anda harus dapat menangani parameter berikut:

Parameter titik akhir token
intent Untuk permintaan ini, nilai parameter ini adalah get .
grant_type Jenis token yang dipertukarkan. Untuk permintaan ini, parameter ini memiliki nilai urn:ietf:params:oauth:grant-type:jwt-bearer .
assertion JSON Web Token (JWT) yang memberikan pernyataan yang ditandatangani tentang identitas pengguna Google. JWT berisi informasi yang mencakup ID Akun Google pengguna, nama, dan alamat email.
scope Opsional: Setiap scopes bahwa Anda telah dikonfigurasi Google untuk permintaan dari pengguna.

Untuk merespon dengan get permintaan niat, endpoint pertukaran token Anda harus melakukan langkah-langkah berikut:

  • Validasi dan decode pernyataan JWT.
  • Periksa apakah akun Google sudah ada di sistem otentikasi Anda.
Validasi dan dekode pernyataan JWT

Anda dapat memvalidasi dan mendekode pernyataan JWT dengan menggunakan perpustakaan decoding JWT untuk bahasa Anda . Gunakan kunci publik Google, tersedia dalam format JWK atau PEM , untuk memverifikasi tanda tangan token.

Saat didekodekan, pernyataan JWT terlihat seperti contoh berikut:

{
  "sub": "1234567890",      // The unique ID of the user's Google Account
  "iss": "https://accounts.google.com",        // The assertion's issuer
  "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID
  "iat": 233366400,         // Unix timestamp of the assertion's creation time
  "exp": 233370000,         // Unix timestamp of the assertion's expiration time
  "name": "Jan Jansen",
  "given_name": "Jan",
  "family_name": "Jansen",
  "email": "jan@gmail.com", // If present, the user's email address
  "email_verified": true,   // true, if Google has verified the email address
  "hd": "example.com",      // If present, the host domain of the user's GSuite email address
                            // If present, a URL to user's profile picture
  "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ",
  "locale": "en_US"         // User's locale, from browser or phone settings
}

Selain memverifikasi tanda tangan token, verifikasi bahwa penerbit pernyataan (bidang iss ) adalah https://accounts.google.com , bahwa audiens (bidang aud ) adalah ID klien yang Anda tetapkan, dan bahwa token belum kedaluwarsa ( exp bidang).

Dengan menggunakan bidang email , email_verified , dan hd Anda dapat menentukan apakah Google menghosting dan berwenang untuk sebuah alamat email. Jika Google berwenang, pengguna saat ini diketahui sebagai pemilik akun yang sah dan Anda dapat melewati sandi atau metode tantangan lainnya. Jika tidak, metode ini dapat digunakan untuk memverifikasi akun sebelum menautkan.

Kasus di mana Google berwibawa:

  • email memiliki akhiran @gmail.com , ini adalah akun Gmail.
  • email_verified benar dan hd disetel, ini adalah akun G Suite.

Pengguna dapat mendaftar untuk Akun Google tanpa menggunakan Gmail atau G Suite. Jika email tidak berisi akhiran @gmail.com dan hd tidak ada, Google tidak berwibawa dan sandi atau metode tantangan lainnya disarankan untuk memverifikasi pengguna. email_verfied juga bisa benar karena Google awalnya memverifikasi pengguna saat akun Google dibuat, namun kepemilikan akun email pihak ketiga mungkin telah berubah.

Periksa apakah akun Google sudah ada di sistem otentikasi Anda

Periksa apakah salah satu dari kondisi berikut ini benar:

  • Akun Google ID, ditemukan di pernyataan ini sub bidang, adalah dalam database pengguna Anda.
  • Alamat email dalam pernyataan cocok dengan pengguna di database pengguna Anda.

Jika akun ditemukan bagi pengguna, mengeluarkan token akses dan mengembalikan nilai-nilai dalam sebuah objek JSON dalam tubuh respon HTTPS Anda, seperti dalam contoh berikut:

{
  "token_type": "Bearer",
  "access_token": "ACCESS_TOKEN",

  "refresh_token": "REFRESH_TOKEN",

  "expires_in": SECONDS_TO_EXPIRATION
}

Dalam beberapa kasus, penautan akun berdasarkan token ID mungkin gagal bagi pengguna. Jika ia melakukannya untuk alasan apapun, pertukaran endpoint token Anda perlu membalas dengan HTTP 401 error yang menentukan error=linking_error , sebagai contoh berikut menunjukkan:

HTTP/1.1 401 Unauthorized
Content-Type: application/json;charset=UTF-8

{
  "error":"linking_error",
  "login_hint":"foo@bar.com"
}

Ketika Google menerima respon error 401 dengan linking_error , Google mengirimkan pengguna untuk endpoint otorisasi Anda dengan login_hint sebagai parameter. Pengguna menyelesaikan penautan akun menggunakan alur penautan OAuth di browser mereka.

Menangani pembuatan akun melalui Google Sign-In (buat maksud)

Ketika pengguna perlu membuat account pada layanan Anda, Google membuat permintaan untuk endpoint pertukaran token Anda yang menentukan intent=create .

Permintaan memiliki bentuk berikut:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

response_type=token&grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&scope=SCOPES&intent=create&assertion=JWT

Titik akhir pertukaran token Anda harus dapat menangani parameter berikut:

Parameter titik akhir token
intent Untuk permintaan ini, nilai parameter ini create .
grant_type Jenis token yang dipertukarkan. Untuk permintaan ini, parameter ini memiliki nilai urn:ietf:params:oauth:grant-type:jwt-bearer .
assertion JSON Web Token (JWT) yang memberikan pernyataan yang ditandatangani tentang identitas pengguna Google. JWT berisi informasi yang mencakup ID Akun Google pengguna, nama, dan alamat email.

JWT dalam assertion parameter mengandung Google ID Akun, nama, dan alamat email pengguna, yang dapat Anda gunakan untuk membuat account baru pada layanan Anda.

Untuk merespon dengan create permintaan niat, endpoint pertukaran token Anda harus melakukan langkah-langkah berikut:

  • Validasi dan decode pernyataan JWT.
  • Validasi informasi pengguna dan buat akun baru.
Validasi dan dekode pernyataan JWT

Anda dapat memvalidasi dan mendekode pernyataan JWT dengan menggunakan perpustakaan decoding JWT untuk bahasa Anda . Gunakan kunci publik Google, tersedia dalam format JWK atau PEM , untuk memverifikasi tanda tangan token.

Saat didekodekan, pernyataan JWT terlihat seperti contoh berikut:

{
  "sub": "1234567890",      // The unique ID of the user's Google Account
  "iss": "https://accounts.google.com",        // The assertion's issuer
  "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID
  "iat": 233366400,         // Unix timestamp of the assertion's creation time
  "exp": 233370000,         // Unix timestamp of the assertion's expiration time
  "name": "Jan Jansen",
  "given_name": "Jan",
  "family_name": "Jansen",
  "email": "jan@gmail.com", // If present, the user's email address
  "email_verified": true,   // true, if Google has verified the email address
  "hd": "example.com",      // If present, the host domain of the user's GSuite email address
                            // If present, a URL to user's profile picture
  "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ",
  "locale": "en_US"         // User's locale, from browser or phone settings
}

Selain memverifikasi tanda tangan token, verifikasi bahwa penerbit pernyataan (bidang iss ) adalah https://accounts.google.com , bahwa audiens (bidang aud ) adalah ID klien yang Anda tetapkan, dan bahwa token belum kedaluwarsa ( exp bidang).

Dengan menggunakan bidang email , email_verified , dan hd Anda dapat menentukan apakah Google menghosting dan berwenang untuk sebuah alamat email. Jika Google berwenang, pengguna saat ini diketahui sebagai pemilik akun yang sah dan Anda dapat melewati sandi atau metode tantangan lainnya. Jika tidak, metode ini dapat digunakan untuk memverifikasi akun sebelum menautkan.

Kasus di mana Google berwibawa:

  • email memiliki akhiran @gmail.com , ini adalah akun Gmail.
  • email_verified benar dan hd disetel, ini adalah akun G Suite.

Pengguna dapat mendaftar untuk Akun Google tanpa menggunakan Gmail atau G Suite. Jika email tidak berisi akhiran @gmail.com dan hd tidak ada, Google tidak berwibawa dan sandi atau metode tantangan lainnya disarankan untuk memverifikasi pengguna. email_verfied juga bisa benar karena Google awalnya memverifikasi pengguna saat akun Google dibuat, namun kepemilikan akun email pihak ketiga mungkin telah berubah.

Validasi informasi pengguna dan buat akun baru

Periksa apakah salah satu dari kondisi berikut ini benar:

  • Akun Google ID, ditemukan di pernyataan ini sub bidang, adalah dalam database pengguna Anda.
  • Alamat email dalam pernyataan cocok dengan pengguna di database pengguna Anda.

Jika salah satu kondisi tersebut benar, minta pengguna untuk menautkan akun mereka yang ada dengan Akun Google mereka. Untuk melakukannya, merespon permintaan dengan HTTP 401 error yang menentukan error=linking_error dan memberikan alamat email pengguna sebagai login_hint . Berikut ini adalah contoh tanggapan:

HTTP/1.1 401 Unauthorized
Content-Type: application/json;charset=UTF-8

{
  "error":"linking_error",
  "login_hint":"foo@bar.com"
}

Ketika Google menerima respon error 401 dengan linking_error , Google mengirimkan pengguna untuk endpoint otorisasi Anda dengan login_hint sebagai parameter. Pengguna menyelesaikan penautan akun menggunakan alur penautan OAuth di browser mereka.

Jika tidak ada kondisi yang benar, buat akun pengguna baru dengan informasi yang disediakan di JWT. Akun baru biasanya tidak memiliki set kata sandi. Sebaiknya tambahkan Google Sign-In ke platform lain untuk memungkinkan pengguna masuk dengan Google di seluruh permukaan aplikasi Anda. Atau, Anda dapat mengirim email kepada pengguna tautan yang memulai alur pemulihan kata sandi Anda untuk memungkinkan pengguna menyetel kata sandi untuk masuk di platform lain.

Ketika penciptaan selesai, mengeluarkan token akses dan penyegaran tanda dan mengembalikan nilai-nilai dalam sebuah objek JSON dalam tubuh respon HTTPS Anda, seperti dalam contoh berikut:

{
  "token_type": "Bearer",
  "access_token": "ACCESS_TOKEN",

  "refresh_token": "REFRESH_TOKEN",

  "expires_in": SECONDS_TO_EXPIRATION
}

Dapatkan ID Klien Google API Anda

Anda akan diminta untuk memberikan Google ID Klien API Anda selama Akun Menghubungkan pendaftaran proses.

Untuk mendapatkan ID Klien API Anda menggunakan proyek yang Anda buat saat menyelesaikan OAuth Menghubungkan langkah. Untuk melakukannya, selesaikan langkah-langkah berikut:

  1. Buka halaman Kredensial dari API konsol Google .
  2. Buat atau pilih proyek Google API.

    Jika proyek Anda tidak memiliki ID Klien untuk Jenis aplikasi Web, klik Buat kredensial> OAuth Client ID untuk membuat satu. Pastikan untuk menyertakan domain situs anda dalam asal JavaScript Resmi kotak. Ketika Anda melakukan tes lokal atau pengembangan, Anda harus menambahkan kedua http://localhost dan http://localhost:<port_number> untuk JavaScript asal lapangan Resmi.

Memvalidasi implementasi Anda

Anda dapat memvalidasi implementasi Anda dengan menggunakan OAuth 2.0 Playground alat.

Pada alat, lakukan langkah-langkah berikut:

  1. Klik Konfigurasi untuk membuka jendela Configuration OAuth 2.0.
  2. Di bidang aliran OAuth, pilih Client-side.
  3. Di bidang OAuth endpoint, pilih Custom.
  4. Tentukan titik akhir OAuth 2.0 dan ID klien yang Anda tetapkan ke Google di bidang yang sesuai.
  5. Pada bagian Langkah 1, tidak memilih lingkup Google. Sebagai gantinya, biarkan bidang ini kosong atau ketik cakupan yang valid untuk server Anda (atau string arbitrer jika Anda tidak menggunakan cakupan OAuth). Setelah selesai, klik Otorisasi API.
  6. Dalam Langkah 2 dan Langkah 3 bagian, melalui aliran OAuth 2.0 dan memverifikasi bahwa setiap langkah bekerja sebagaimana dimaksud.

Anda dapat memvalidasi implementasi Anda dengan menggunakan Akun Google Menghubungkan Demo alat.

Pada alat, lakukan langkah-langkah berikut:

  1. Klik Sign-in dengan tombol Google.
  2. Pilih akun yang ingin Anda tautkan.
  3. Masukkan ID layanan.
  4. Secara opsional, masukkan satu atau beberapa cakupan yang akan Anda minta aksesnya.
  5. Klik Mulai Demo.
  6. Saat diminta, konfirmasikan bahwa Anda dapat menyetujui dan menolak permintaan penautan.
  7. Konfirmasikan bahwa Anda dialihkan ke platform Anda.