通过帐号关联,Google 帐号持有人可以快速、顺畅、安全地连接到您的服务。您可以选择实现 Google 帐号关联,以便与 Google 应用和服务共享您平台中的用户数据。
通过安全的 OAuth 2.0 协议,您可以安全地将用户的 Google 帐号与其平台上的帐号关联起来,从而授予 Google 应用和设备访问您的服务的权限。
用户可以通过 Google 帐号关联,在您的平台上关联或解除关联的帐号,并可以选择在平台上创建一个新帐号。
使用场景
实施 Google 帐号关联的部分原因如下:
与 Google 应用和服务共享您平台中的用户数据。
使用 Google TV 播放您的视频和电影内容。
使用 Google Home 应用和 Google 助理“控制 Google 开灯”来管理和控制 Google 智能家居已连接的设备。
通过对话型 Action 为用户打造个性化的 Google 助理体验和功能:“Ok Google,从我常去的星巴克订餐”。
让用户能够在将其 Google 帐号与奖励合作伙伴帐号关联后,观看 YouTube 上的符合条件的直播,从而赢取奖励。
在注册期间,使用 Google 帐号个人资料中一致的共享数据预先填充新帐号。
支持的功能
Google 帐号关联支持以下功能:
使用 OAuth 链接隐式流程快速轻松地共享您的数据。
利用 OAuth 关联授权代码流程提供更好的安全性。
登录现有用户,或者向 Google 注册新用户到您的平台,征得他们的同意,并通过精简关联安全地共享数据。
应用快速关联可减少用户的不便。在受信任的 Google 应用中,轻轻一点即可安全地打开经过验证的 Android 或 iOS 应用,轻轻一点即可授权用户并关联帐号。
通过定义自定义范围以仅共享必要的数据来增强用户隐私保护,通过明确定义数据的使用方式来增强用户信任。
通过解除关联帐号,可以撤消对托管在您的平台上的数据和服务的访问权限。通过实现可选的令牌撤消端点,您可以与 Google 发起的事件保持同步;而借助跨帐号保护功能 (RISC),您可以在平台中发生任何解除关联事件时通知 Google。
帐号关联流程
Google 帐号关联流程有 3 种,都是基于 OAuth,均要求您管理或控制符合 OAuth 2.0 规范的授权和令牌交换端点。
在关联过程中,您需要在获得帐号持有人同意关联帐号并共享数据后,为 Google 普通帐号颁发访问令牌。
OAuth 关联 ('Web OAuth)
这是将用户转到您的网站进行关联的基本 OAuth 流程。用户被重定向至您的网站以登录其帐号。登录后,用户会同意与您的服务共享您在 Google 服务中的数据。此时,用户的 Google 帐号与您的服务已关联。
OAuth 关联支持授权代码和隐式 OAuth 流程。您的服务必须为隐式流程托管符合 OAuth 2.0 规范的授权端点,并且在使用授权代码流程时必须公开授权和令牌交换端点。

图 1. 通过 Web OAuth 在用户的手机上关联帐号
基于 OAuth 的应用快速关联 ('App Flip')
一个 OAuth 流程,可将用户转到应用以进行关联。
基于 OAuth 的应用快速关联可引导用户在经过验证的 Android 或 iOS 移动应用与 Google 平台之间移动,以查看提议的数据访问更改,并表示同意在您的平台上将其帐号与 Google 帐号关联。如需启用应用快速关联,您的服务必须支持使用授权代码流程的OAuth 链接或基于 OAuth 的 Google 登录链接。
运作方式:
Google 应用会检查您的应用是否已安装在用户的设备上:
- 如果找到相应应用,用户就会“翻转”到该应用。应用会征求用户的同意,以便将帐号与 Google 关联,然后再“翻转”到 Google 平台。
- 如果在应用快速关联过程中找不到应用或发生了错误,系统会将用户重定向到精简或 Web OAuth 流程。

图 2. 使用应用快速关联的用户手机上的帐号关联
基于 OAuth 的精简链接(精简)
基于 OAuth 的 Google 登录简化关联功能在 OAuth 关联功能的基础上添加了 Google 登录功能,让用户能够在不离开 Google 平台的情况下完成关联流程,从而减少摩擦和流失。基于 OAuth 的精简关联通过将 Google 登录与 OAuth 关联相结合,提供无缝登录、帐号创建和帐号关联方面的最佳用户体验。您的服务必须支持符合 OAuth 2.0 规范的授权和令牌交换端点。此外,您的令牌交换端点必须支持 JSON 网络令牌 (JWT) 断言,并实现 check
、create
和 get
intent。
运作方式:
Google 会声明用户帐号并将以下信息传递给您:
- 如果数据库中已存在该用户的帐号,则该用户已成功将其 Google 帐号与其在服务上的帐号相关联。
- 如果数据库中不存在该用户的帐号,用户可以创建新的第三方帐号(使用 Google 提供的断言信息:电子邮件地址、姓名和个人资料照片),或者选择登录并使用其他电子邮件地址进行关联(这将要求他们通过 Web OAuth 登录服务)。

图 3. 通过简化的关联在用户的手机上关联帐号
您应该使用哪种流程?
我们建议实现所有流程,以确保用户获得最佳关联体验。精简流程和应用快速切换流程可以减少链接的不便,因为用户只需几步即可完成关联流程。网络 OAuth 关联操作的工作量最少,可以先尝试其他关联流程。
使用令牌
Google 帐号关联基于 OAuth 2.0 行业标准。
获得帐号持有人同意关联其帐号并分享数据后,您即可为各个 Google 帐号颁发访问令牌。
代币类型
OAuth 2.0使用称为令牌的字符串在用户代理,客户端应用程序和OAuth 2.0服务器之间进行通信。
帐户链接期间可以使用三种OAuth 2.0令牌:
授权码。可以交换访问权限的短期令牌和刷新令牌。为了安全起见,Google会调用您的授权端点来获取一次性使用或寿命很短的代码。
访问令牌。授予承载者对资源的访问权的令牌。为了限制可能因丢失此令牌而导致的风险敞口,它的使用寿命有限,通常会在一个小时左右后过期。
刷新令牌。访问令牌到期时可以交换新的访问令牌的长期令牌。当您的服务与Google集成时,此令牌将由Google专门存储和使用。 Google调用您的令牌交换端点,以将刷新令牌交换为访问令牌,这些访问令牌又用于访问用户数据。
代币处理
在使用令牌时,群集环境和客户端-服务器交换中的竞争条件可能导致复杂的时序和错误处理方案。例如:
- 您收到一个新的访问令牌的请求,并发出一个新的访问令牌。同时,您会收到使用前一个未过期的访问令牌访问服务资源的请求。
- 您的刷新令牌回复尚未被Google收到(或从未收到)。同时,先前有效的刷新令牌用于Google的请求中。
由于在群集中运行的异步服务,网络行为或其他方式,请求和答复可以以任何顺序到达,或者根本无法到达。
无法保证您和Google的令牌处理系统之间以及之间的即时且完全一致的共享状态。多个有效的未过期令牌可以在短时间内在系统内或系统之间共存。为了最大程度地减少对用户的负面影响,建议您执行以下操作:
- 即使发布了更新的令牌,也要接受未过期的访问令牌。
- 使用替代方法来刷新令牌轮换。
- 支持多个并发有效的访问和刷新令牌。为了安全起见,应限制令牌的数量和令牌的生存期。
维护和停运处理
在维护或计划外中断期间,Google可能无法调用您的授权或令牌交换端点来获取访问权限并刷新令牌。
您的端点应以503
错误代码和空主体作为响应。在这种情况下,Google将在有限的时间内重试失败的令牌交换请求。如果Google以后能够获取刷新和访问令牌,则失败的请求对用户不可见。
如果用户发起访问请求失败的请求,则会导致可见错误。如果使用隐式OAuth 2.0流程,则要求用户重试链接失败。
推荐建议
有许多解决方案可以最大程度地减少维护影响。要考虑的一些选项:
维护您现有的服务,并将有限数量的请求路由到您的新更新的服务。仅在确认预期功能后才能迁移所有请求。
在维护期间减少令牌请求的数量:
将维护周期限制为少于访问令牌生存期。
临时增加访问令牌的生存期:
- 将令牌寿命增加到大于维护期限。
- 等待两次访问令牌生存期,从而使用户可以将短期令牌替换为较长令牌。
- 输入维护。
- 使用
503
错误代码和空主体来响应令牌请求。 - 退出维护。
- 将令牌生存期降低到正常水平。
向 Google 注册
我们需要您的 OAuth 2.0 设置详情并共享凭据以启用帐号关联。如需了解详情,请参阅注册。