Aperçu

L'association de comptes permet aux titulaires d'un compte Google de se connecter à vos services de manière rapide, fluide et sécurisée. Vous pouvez choisir d'implémenter l'association de comptes Google pour partager les données d'un utilisateur de votre plate-forme avec les applications et services Google.

Le protocole OAuth 2.0 sécurisé vous permet d'associer de manière sécurisée le compte Google d'un utilisateur à son compte sur votre plate-forme, ce qui permet aux applications et appareils Google d'accéder à vos services.

Les utilisateurs peuvent associer ou dissocier leurs comptes, et éventuellement en créer un autre sur votre plate-forme via l'association de comptes Google.

Cas d'utilisation

Voici quelques raisons d'implémenter l'association de comptes Google:

  • Partager les données d'un utilisateur depuis votre plate-forme avec les applications et services Google

  • Regardez vos vidéos et vos films à l'aide de Google TV.

  • Gérez et contrôlez les appareils connectés à votre maison connectée Google à l'aide de l'application Google Home et de l'Assistant Google, "Hey Google, allume la lumière".

  • Créez des expériences et des fonctionnalités personnalisées pour l'Assistant Google avec les actions conversationnelles, par exemple "Hey Google, commande mon café habituel chez Starbucks".

  • Permettez aux utilisateurs de gagner des récompenses en regardant des diffusions en direct éligibles sur YouTube après avoir associé leur compte Google à un compte partenaire pour les récompenses.

  • Préremplir les nouveaux comptes lors de la création avec des données partagées de manière consensuelle à partir d'un profil de compte Google

Fonctionnalités compatibles

Les fonctionnalités suivantes sont compatibles avec l'association de comptes Google:

  • Partagez vos données rapidement et facilement à l'aide du flux OAuth Linking implicit (Association OAuth implicite).

  • Renforcez la sécurité avec le flux OAuth Linking authorization code (Code d'autorisation d'association OAuth).

  • Connectez des utilisateurs existants ou inscrivez de nouveaux utilisateurs vérifiés par Google sur votre plate-forme, obtenez leur consentement et partagez des données de manière sécurisée avec l'association simplifiée.

  • Simplifiez l'expérience avec la rotation d'application. À partir d'une application Google de confiance, il suffit d'un geste pour ouvrir de manière sécurisée votre application Android ou iOS validée. En un seul geste, vous obtenez le consentement de l'utilisateur et associe les comptes.

  • Améliorez la confidentialité des utilisateurs en définissant des champs d'application personnalisés pour ne partager que les données nécessaires, et gagnez la confiance des utilisateurs en définissant clairement comment leurs données sont utilisées.

  • L'accès aux données et aux services hébergés sur votre plate-forme peut être révoqué en dissociant des comptes. L'implémentation d'un point de terminaison de révocation de jeton facultatif vous permet de rester synchronisé avec les événements déclenchés par Google, tandis que la protection multicompte (RISC) vous permet d'informer Google de toute dissociation qui se produit sur votre plate-forme.

Parcours d'association de comptes

Il existe trois flux d'association de comptes Google, tous basés sur OAuth et vous obligeant à gérer ou à contrôler les points de terminaison d'autorisation et d'échange de jetons conformes à OAuth 2.0.

Au cours du processus d'association, vous devez émettre des jetons d'accès à Google pour les comptes Google individuels après avoir obtenu l'autorisation du titulaire du compte pour associer ses comptes et partager des données.

Association OAuth ('OAuth Web')

Il s'agit du flux OAuth de base qui redirige les utilisateurs vers votre site Web pour qu'ils puissent les associer. L'utilisateur est redirigé vers votre site Web pour se connecter à son compte. Une fois connecté, l'utilisateur accepte de partager ses données sur votre service avec Google. Le compte Google de l'utilisateur et votre service sont alors associés.

L'association OAuth est compatible avec le code d'autorisation et les flux OAuth implicites. Votre service doit héberger un point de terminaison d'autorisation conforme à OAuth 2.0 pour le flux implicite et doit exposer à la fois un point de terminaison d'autorisation et un point de terminaison d'échange de jetons lorsque vous utilisez le flux avec code d'autorisation.

Figure 1 : Association de compte sur le téléphone d'un utilisateur avec OAuth Web

Association de l'app flip basée sur OAuth (fonctionnalité "App Flip")

Flux OAuth qui redirige les utilisateurs vers votre application pour l'association.

L'association d'application basée sur OAuth guide les utilisateurs lorsqu'ils passent de vos applications mobiles Android ou iOS validées à la plate-forme de Google pour examiner les modifications proposées concernant l'accès aux données et donner leur consentement pour associer leur compte sur votre plate-forme à leur compte Google. Pour activer le basculement d'application, votre service doit prendre en charge l'association OAuth ou l'association Google Sign-In basée sur OAuth à l'aide du flux code d'autorisation.

Le basculement d'application est compatible avec Android et iOS.

Fonctionnement:

L'application Google vérifie si votre application est installée sur l'appareil de l'utilisateur:

  • Si l'application est trouvée, l'utilisateur est redirigé vers votre application. Votre application recueille le consentement de l'utilisateur pour associer le compte à Google, puis le redirige vers la surface Google.
  • Si l'application n'est pas trouvée ou qu'une erreur se produit lors du processus d'association de l'application, l'utilisateur est redirigé vers le flux OAuth simplifié ou Web.

Figure 2 : Association de compte sur le téléphone d'un utilisateur avec App Flip

Association simplifiée basée sur OAuth ("Simplifié")

La simplification de l'association à Google Sign-In basée sur OAuth ajoute Google Sign-In à l'association OAuth, ce qui permet aux utilisateurs de terminer le processus d'association sans quitter la surface Google, réduisant ainsi les frictions et les abandons. L'association simplifiée basée sur OAuth offre la meilleure expérience utilisateur avec une connexion, une création et une association de comptes fluides en combinant Google Sign-In et l'association OAuth. Votre service doit être compatible avec les points de terminaison d'autorisation et d'échange de jetons conformes à OAuth 2.0. De plus, votre point de terminaison d'échange de jetons doit prendre en charge les assertions JSON Web Token (JWT) et implémenter les intents check, create et get.

Fonctionnement:

Google valide le compte utilisateur et vous transmet les informations suivantes:

  • Si un compte existe pour l'utilisateur dans votre base de données, l'utilisateur peut associer son compte Google à son compte sur votre service.
  • Si aucun compte n'existe pour l'utilisateur dans votre base de données, il peut créer un compte tiers avec les informations affirmées fournies par Google : adresse e-mail, nom et photo de profil, ou choisir de se connecter et d'associer un autre e-mail (il devra alors se connecter à votre service via OAuth Web).

Figure 3. Association de comptes sur le téléphone d'un utilisateur avec l'association simplifiée

Quel flux devez-vous utiliser ?

Nous vous recommandons d'implémenter tous les flux pour garantir aux utilisateurs la meilleure expérience d'association possible. Les flux simplifiés et de basculement d'application réduisent les frictions liées à l'association, car les utilisateurs peuvent effectuer le processus d'association en très peu d'étapes. L'association OAuth Web est la plus simple à mettre en place. Elle constitue un bon point de départ, après quoi vous pouvez ajouter les autres flux d'association.

Utiliser des jetons

L'association de compte Google est basée sur la norme du secteur OAuth 2.0.

Vous délivrez des jetons d'accès à Google pour des comptes Google individuels après avoir obtenu l'autorisation des titulaires de ces comptes d'associer leurs comptes et de partager des données.

令牌类型

OAuth 2.0 使用称为令牌的字符串在用户代理、客户端应用和 OAuth 2.0 服务器之间进行通信。

在账号关联期间,您可以使用三种类型的 OAuth 2.0 令牌:

  • 授权代码。一种短期有效的令牌,可用于交换访问令牌和刷新令牌。出于安全考虑,Google 会调用您的授权端点以获取一次性或非常短效的代码。

  • 访问令牌。授予持有者对资源的访问权限的令牌。为限制因丢失此令牌而导致的泄露风险,此令牌的有效期有限,通常会在大约一小时后过期。

  • 刷新令牌。一个长期有效的令牌,在访问令牌到期时可以交换为新的访问令牌。如果您的服务与 Google 集成,则此令牌由 Google 专门存储和使用。Google 会调用您的令牌交换端点,以便将刷新令牌换成访问令牌,后者会用于访问用户数据。

令牌处理

在使用令牌时,分片环境和客户端-服务器交换中的竞态条件可能会导致复杂的时间安排和错误处理场景。例如:

  • 您收到新的访问令牌请求,并发出新的访问令牌。同时,您会收到使用上一个未过期的访问令牌访问服务资源的请求。
  • Google 尚未收到(或从未收到)您的刷新令牌回复。与此同时,之前有效的刷新令牌会在 Google 发出的请求中使用。

由于集群中运行的异步服务、网络行为或其他原因,请求和响应可能会以任何顺序到达,也可能根本不会到达。

我们无法保证您和 Google 的令牌处理系统内部以及它们之间的共享状态是立即且完全一致的。在短时间内,多个有效、未过期的令牌可以在系统内部或不同系统之间共存。为了尽可能减少对用户的负面影响,我们建议您执行以下操作:

  • 接受未过期的访问令牌,即使已发出较新的令牌也是如此。
  • 使用刷新令牌轮替的替代方案。
  • 支持多个同时有效的访问令牌和刷新令牌。出于安全考虑,您应限制令牌数量和令牌生命周期。
维护和中断处理

在维护或意外停机期间,Google 可能无法调用您的授权或令牌交换端点来获取访问令牌和刷新令牌。

您的端点应返回 503 错误代码和空正文。在这种情况下,Google 会在有限的时间内重试失败的令牌交换请求。只要 Google 稍后能够获取刷新令牌和访问令牌,用户就不会看到失败的请求。

如果由用户发起,访问令牌请求失败会导致可见错误。如果使用隐式 OAuth 2.0 流程,用户将需要重试关联失败。

建议

您可以通过多种方法最大限度地降低维护影响。请考虑以下可选方案:

  • 维护现有服务,并将有限数量的请求路由到新更新的服务。请仅在确认预期功能后迁移所有请求。

  • 减少维护期间令牌请求的数量:

    • 将维护期限制为短于访问令牌有效期。

    • 暂时延长访问令牌生命周期:

      1. 将令牌生命周期延长到超过维护期。
      2. 等待访问令牌生命周期的两倍时间,以便用户将短时有效的令牌换成时长更长的令牌。
      3. 进入维护模式。
      4. 使用 503 错误代码和空正文响应令牌请求。
      5. 退出维护。
      6. 将令牌生命周期缩短为正常值。

S'inscrire avec Google

Nous aurons besoin de détails sur votre configuration OAuth 2.0 et de partager des identifiants pour activer l'association de comptes. Pour en savoir plus, consultez la section enregistrement.