קישור החשבונות מאפשר לבעלי חשבון Google להתחבר לשירותים שלכם במהירות, בצורה חלקה ובטוחה. יש לכם אפשרות להטמיע קישור לחשבון Google, כדי לשתף נתונים של משתמש מהפלטפורמה שלכם עם אפליקציות ושירותים של Google.
פרוטוקול OAuth 2.0 המאובטח מאפשר לקשר באופן בטוח חשבון Google של משתמש לחשבון שלו בפלטפורמה שלכם, ובכך להעניק לאפליקציות ולמכשירים של Google גישה לשירותים שלכם.
המשתמשים יכולים לקשר את החשבונות שלהם או לבטל את הקישור שלהם, ואפשר גם ליצור חשבון חדש בפלטפורמה שלכם באמצעות קישור לחשבון Google.
תרחישים לדוגמה
אלה כמה מהסיבות להטמעה של קישור לחשבון Google:
שיתוף נתוני משתמש מהפלטפורמה שלך עם האפליקציות והשירותים של Google.
מפעילים את התוכן של סרטונים וסרטים באמצעות Google TV.
אפשר לנהל מכשירים המחוברים לבית החכם של Google ולשלוט בהם באמצעות אפליקציית Google Home ו-Google Assistant, אומרים "Hey Google turn on the lights".
יצירת חוויות ופונקציונליות בהתאמה אישית למשתמשים ב-Google Assistant באמצעות פעולות שיחה, "Ok Google, order my regular from Starbucks".
אחרי שמקשרים את חשבון Google לחשבון שותף של תוכנית התגמולים, המשתמשים יכולים לזכות בפרסים על ידי צפייה בשידורים חיים שעומדים בקריטריונים ב-YouTube.
במהלך ההרשמה אפשר לאכלס חשבונות חדשים מראש באמצעות נתונים ששותפו בהסכמה מהפרופיל בחשבון Google.
התכונות הנתמכות
התכונות הבאות נתמכות על ידי קישור של חשבון Google:
תוכלו לשתף את הנתונים שלכם במהירות ובקלות באמצעות תהליך משתמע של קישור OAuth.
משפרים את האבטחה באמצעות תהליך קוד ההרשאה של קישור OAuth.
אפשר להכניס משתמשים קיימים או לרשום משתמשים חדשים שאומתו על ידי Google לפלטפורמה שלכם, לקבל את הסכמתם ולשתף נתונים באופן מאובטח בעזרת קישור יעיל.
מפחיתים את הקשיים בעזרת App Flip באפליקציה מהימנה של Google, הקשה אחת פותחת באופן מאובטח את האפליקציה המאומתת ל-Android או ל-iOS, ובהקשה אחת ניתן לקבל את הסכמת המשתמשים ולקשר חשבונות.
ניתן לשפר את פרטיות המשתמשים על ידי הגדרה של היקפים מותאמים אישית לשיתוף רק של הנתונים הנחוצים, ולחיזוק האמון של המשתמשים באמצעות הגדרה ברורה של אופן השימוש בנתונים שלהם.
אפשר לבטל את הגישה לנתונים ולשירותים שמתארחים בפלטפורמה שלכם באמצעות ביטול הקישור של חשבונות. הטמעה של נקודת קצה אופציונלית לביטול אסימון מאפשרת לשמור על סנכרון עם האירועים ש-Google יזמה. לעומת זאת, בעזרת הגנה על כל החשבונות (RISC) אפשר להודיע ל-Google על אירועים של ביטול הקישור שמתרחשים בפלטפורמה שלכם.
תהליכי קישור חשבונות
יש 3 תהליכי קישור לחשבון Google, שכולם מבוססים על OAuth ומחייבים אתכם לנהל את נקודות הקצה של ההרשאות והחלפת האסימונים התואמות ל-OAuth 2.0.
בתהליך הקישור, אחרי שתקבלו הסכמה מבעלי החשבון לקשר את החשבונות שלהם ולשתף נתונים, אתם מנפיקים ל-Google אסימוני גישה לחשבונות Google נפרדים.
קישור OAuth ('פרוטוקול OAuth באינטרנט')
זהו תהליך ה-OAuth הבסיסי שמפנה את המשתמשים לאתר שלכם לצורך קישור. המשתמש מופנה לאתר שלכם כדי להיכנס לחשבון שלו. לאחר הכניסה לחשבון, המשתמש מסכים לשתף עם Google את הנתונים שלו בשירות שלכם. בשלב הזה, חשבון Google של המשתמש והשירות שלך יהיו מקושרים.
קישור OAuth תומך בקוד ההרשאה ובתהליכי OAuth מרומזים. השירות שלכם צריך לארח נקודת קצה להרשאה התואמת ל-OAuth 2.0 עבור התהליך המשתמע, והוא צריך לחשוף גם נקודת קצה של הרשאה וגם נקודת קצה של חילופי אסימונים כשמשתמשים בתהליך קוד ההרשאה.
איור 1. קישור חשבונות בטלפון של משתמש באמצעות Web OAuth
קישור App Flip מבוסס OAuth ('App Flip')
תהליך OAuth שמפנה את המשתמשים אל האפליקציה שלכם לצורך קישור.
קישור של App Flip מבוסס OAuth מנחה את המשתמשים כשהם עוברים בין האפליקציות המאומתות שלכם לנייד ב-Android או ב-iOS לבין הפלטפורמה של Google, כדי לבדוק את ההצעות לשינויים בגישה לנתונים ולתת את הסכמתם לקשר את החשבון שלהם בפלטפורמה שלכם לחשבון Google שלהם. כדי להפעיל את App Flip, השירות שלכם חייב לתמוך בקישור OAuth או בקישור לכניסה באמצעות חשבון Google שמבוסס על OAuth, באמצעות תהליך קוד ההרשאה.
App Flip נתמך גם ל-Android וגם ל-iOS.
איך זה עובד:
אפליקציית Google בודקת אם האפליקציה מותקנת במכשיר של המשתמש:
- אם האפליקציה נמצאת, המשתמש 'הופך' לאפליקציה. האפליקציה מקבלת מהמשתמש הסכמה לקישור החשבון ל-Google, ולאחר מכן 'חזרה' לפלטפורמה של Google.
- אם האפליקציה לא נמצאת או שמתרחשת שגיאה בתהליך הקישור בין האפליקציות, המשתמש מופנה לתהליך עבודה יעיל או לתהליך OAuth באינטרנט.
איור 2. קישור חשבון בטלפון של משתמש באמצעות App Flip
קישור יעיל מבוסס OAuth ('משופר')
קישור עם כניסה באמצעות חשבון Google שמבוסס על OAuth מוסיף את 'כניסה באמצעות חשבון Google' בנוסף לקישור OAuth, וכך המשתמשים יכולים להשלים את תהליך הקישור בלי לצאת מהפלטפורמה של Google. כך יש פחות נקודות חיכוכים והנטישות. קישור יעיל שמבוסס על OAuth מציע את חוויית המשתמש הטובה ביותר עם כניסה חלקה, יצירת חשבונות וקישור חשבונות, על ידי שילוב של כניסה באמצעות חשבון Google עם קישור OAuth. השירות שלכם חייב לתמוך בנקודות קצה (endpoint) של החלפת אסימונים והרשאות שעומדות בדרישות של OAuth 2.0.
בנוסף, נקודת הקצה של המרת האסימונים צריכה לתמוך בטענות נכונות של JSON Web Token (JWT) ולהטמיע את הכוונות check
,
create
ו-get
.
איך זה עובד:
Google מצהירה על חשבון המשתמש ומעבירה לכם את המידע הבא:
- אם קיים חשבון עבור המשתמש במסד הנתונים שלך, המשתמש מקשר בהצלחה את חשבון Google שלו לחשבון בשירות שלך.
- אם לא קיים במסד הנתונים שלך חשבון עבור המשתמש, המשתמש יכול ליצור חשבון חדש של צד שלישי עם הפרטים המוצהרים ש-Google מספקת : כתובת אימייל, שם ותמונת פרופיל, או לבחור להיכנס לחשבון ולקשר אותו לכתובת אימייל אחרת (הפעולה הזו תחייב אותו להיכנס לשירות שלך באמצעות Web OAuth).
איור 3. קישור החשבון בטלפון של המשתמש בעזרת קישור יעיל
באיזה תהליך עבודה כדאי להשתמש?
מומלץ ליישם את כל התהליכים כדי להבטיח שהמשתמשים ייהנו מחוויית הקישור הטובה ביותר. תהליכי הקישור בין האפליקציות הופכים לפשוטים יותר, מאחר שהמשתמשים יכולים להשלים את תהליך הקישור בכמה שלבים פשוטים. קישור ה-OAuth באינטרנט הוא ברמת המאמץ הנמוכה ביותר, והוא מקום טוב להתחיל בו. לאחר מכן תוכלו להוסיף לתהליכי קישור אחרים.
עבודה עם אסימונים
הקישור של חשבון Google מבוסס על תקן OAuth 2.0 המקובל בתחום.
אחרי שמקבלים בעלי חשבונות הסכמה לקשר את החשבונות שלהם ולשתף נתונים, אתם נותנים ל-Google אסימוני גישה לחשבונות Google אישיים.
סוגי אסימונים
OAuth 2.0 משתמש במחרוזות הנקראות אסימונים כדי לתקשר בין סוכן המשתמש, יישום הלקוח ושרת OAuth 2.0.
ניתן להשתמש בשלושה סוגים של אסימונים OAuth 2.0 במהלך קישור החשבון:
קוד הרשאה . אסימון קצר מועד שניתן להמיר תמורת גישה ואסימון רענון. מטעמי אבטחה, גוגל מתקשרת לנקודת הקצה של ההרשאה שלך כדי להשיג קוד חד פעמי או קוד קצר מאוד.
אסימון גישה . אסימון המעניק לנושא גישה למשאב. כדי להגביל את החשיפה שעלולה לנבוע מאובדן אסימון זה, יש לו אורך חיים מוגבל, ובדרך כלל יפוג לאחר שעה בערך.
אסימון רענון . אסימון ארוך טווח שניתן להמיר אותו באסימון גישה חדש כשיפוג אסימון גישה. כאשר השירות שלך משתלב עם Google, אסימון זה נשמר ומשמש באופן בלעדי על ידי Google. גוגל קוראת לנקודת הקצה של חילופי האסימונים שלך כדי להחליף אסימונים לרענון עבור אסימוני גישה, אשר בתורם משמשים לגישה לנתוני המשתמש.
טיפול באסימונים
תנאי מרוץ בסביבות מקובצות ובחלפות שרת לקוחות עלולים לגרום לתרחישים מורכבים של תזמון וטיפול בשגיאות בעבודה עם אסימונים. לדוגמה:
- אתה מקבל בקשה לאסימון גישה חדש ואתה מנפיק אסימון גישה חדש. במקביל, תקבל בקשה לגישה למשאב השירות שלך באמצעות אסימון הגישה הקודם, שטרם פג.
- תשובתך לאסימון הרענון עדיין אינה מתקבלת (או לעולם לא מתקבלת) על ידי Google. בינתיים, אסימון הרענון שהיה תקף בעבר משמש בבקשה מגוגל.
בקשות ותשובות יכולות להגיע בכל סדר שהוא, או בכלל לא בשל שירותים אסינכרוניים הפועלים באשכול, התנהגות רשת או אמצעים אחרים.
לא ניתן להבטיח מצב משותף מיידי ועקבי לחלוטין במערכות הטיפול האסימוניות שלך ושל גוגל. אסימונים חוקיים מרובים, שטרם פג, יכולים להתקיים יחד בתוך מערכות פרק זמן קצר או על פני מערכות שונות. כדי למזער את ההשפעה השלילית של המשתמש אנו ממליצים לך לבצע את הפעולות הבאות:
- קבל אסימוני גישה שטרם פג, גם לאחר הוצאת אסימון חדש יותר.
- השתמש בחלופות לרענון סיבוב אסימונים .
- תמיכה במספר אסימונים לגישה ולרענון תקפים בו זמנית. ליתר ביטחון, עליך להגביל את מספר האסימונים ואת חיי האסימון.
תחזוקה וטיפול בהפסקה
במהלך תחזוקה או הפסקות לא מתוכננות, ייתכן שגוגל לא תוכל להתקשר לאישורך או לנקודות קצה של חילופי אסימונים כדי להשיג גישה ורענון אסימונים.
נקודות הקצה שלך צריכות להגיב עם קוד שגיאה 503
וגוף ריק. במקרה זה, גוגל מנסה שוב בקשות חילופי אסימונים נכשלות לזמן מוגבל. בתנאי שגוגל תוכל להשיג מאוחר יותר אסימונים לרענון וגישה, בקשות כושלות אינן גלויות למשתמשים.
בקשות כושלות לאסימון גישה גורמות לשגיאה גלויה, אם יוזמת אותה משתמש. משתמשים יידרשו לנסות שוב כשלים בקישור אם נעשה שימוש בזרימת OAuth 2.0 המשתמעת.
המלצות
ישנם פתרונות רבים למזער את השפעת התחזוקה. כמה אפשרויות שיש לקחת בחשבון:
שמרו על השירות הקיים שלכם ונתבו מספר מוגבל של בקשות לשירותכם המעודכן לאחרונה. העבר את כל הבקשות רק לאחר אישור הפונקציונליות הצפויה.
צמצם את מספר בקשות האסימונים במהלך תקופת התחזוקה:
הגבל תקופות תחזוקה לפחות מחיי האסימון לגישה.
הגדל באופן זמני את חיי אסימון הגישה:
- הגדל את חיי האסימון לגדול מתקופת התחזוקה.
- המתן פעמיים משך משך חיי אסימון הגישה שלך, מה שמאפשר למשתמשים להחליף אסימונים קצרי טווח עבור אסימונים ארוכים יותר.
- הזן תחזוקה.
- השב לבקשות אסימון עם קוד שגיאה
503
וגוף ריק. - תחזוקת יציאה.
- הפחת את חיי האסימון למצב רגיל.
הרשמה ב-Google
כדי להפעיל את קישור החשבונות, נזדקק לפרטים לגבי הגדרת OAuth 2.0 ולשיתוף פרטי הכניסה. פרטים נוספים זמינים במאמר רישום.