Przenosimy usługi tożsamości Google do interfejsów API FedCM. Postępuj zgodnie z przewodnikiem po migracji, aby sprawdzić potencjalne zmiany i uniknąć negatywnego wpływu na logowanie się użytkowników w Twojej witrynie.

Ta strona została przetłumaczona przez Cloud Translation API.

Przegląd

Funkcja Zaloguj się przez Google pomaga szybko zarządzać uwierzytelnianiem użytkowników w Twojej witrynie. Użytkownicy logują się na konta Google, wyrażają zgodę na ich używanie i bezpiecznie udostępniają Ci informacje profilowe na Twojej platformie.

Rejestracja i logowanie użytkowników obsługują możliwe do dostosowania przyciski i wiele przepływów.

Rejestracja oznacza czynności, które należy wykonać, aby uzyskać zgodę właściciela konta Google na udostępnianie Twojej platformie informacji o jego profilu. Zazwyczaj w witrynie tworzone jest nowe konto z użyciem tych udostępnianych danych, ale nie jest to wymagane.

Logowanie oznacza logowanie się w Twojej witrynie przy użyciu aktywnego konta Google za pomocą spersonalizowanego przycisku logowania lub logowania jednym dotknięciem i logowania automatycznego w przypadku użytkowników, którzy są już zalogowani na swoje konta Google.

Historie sukcesu związane z integracją funkcji Zaloguj się przez Google znajdziesz w Studiach przypadków.

Możesz też użyć interfejsu Google Identity Services Authorization API, który pozwoli Ci uzyskać token dostępu na potrzeby interfejsów API Google lub uzyskać dostęp do danych użytkowników.

Prywatność użytkowników

Dane z funkcji Zaloguj się przez Google nie są używane do celów reklamowych ani do innych celów niezwiązanych z bezpieczeństwem.

Przypadki użycia

Oto kilka powodów, dla których warto dodać funkcję Zaloguj się przez Google do witryny:

Dodaj widoczny i bezpieczny przycisk Zaloguj się przez Google do strony tworzenia konta lub ustawień.
wstępnie wypełniać nowe konta danymi udostępnionymi dobrowolnie z profilu konta Google;
Użytkownicy mogą zalogować się na swoje konta Google raz bez konieczności ponownego wpisywania nazwy użytkownika lub hasła w innych witrynach.
Podczas ponownej wizyty użytkownicy mogą logować się automatycznie lub jednym kliknięciem w całej witrynie.
Używać zweryfikowanych kont Google, by chronić komentarze, głosowanie i formularze przed nadużyciami, jednocześnie zachowując anonimowość.

Obsługiwane funkcje

Te funkcje są obsługiwane przez funkcję Zaloguj się przez Google:

Zarejestruj się, aby opcjonalnie utworzyć nowe konto uzupełnione automatycznie na podstawie profilu konta Google.
Zaloguj się, korzystając z funkcji wyboru konta, aby wybrać spośród wielu kont.
Jeśli jesteś już zalogowany na koncie Google, zaloguj się jednym kliknięciem.
Loguj się automatycznie przy kolejnych wizytach na komputerze, telefonie, a nawet na wielu kartach przeglądarki.
Wyloguj się, aby wyłączyć automatyczne logowanie na wszystkich urządzeniach.

Pamiętaj, jak stany konta mogą wpływać na funkcję Zaloguj się przez Google:

Zawieszenie konta Google powoduje zatrzymanie logowania się we wszystkich witrynach korzystających z funkcji Zaloguj się przez Google.
Usunięcie konta Google lub konta partnera wpływa na jedno, ale nie na drugie.

Porównanie z OAuth i OpenId Connect

OAuth i OpenId Connect to otwarte standardy, które oferują szeroki zakres konfigurowanych opcji umożliwiających dostosowanie działania przepływów uwierzytelniania i autoryzacji. Więcej informacji znajdziesz w dokumentacji protokołu OAuth Google.

Funkcja Zaloguj się przez Google oferuje pojedynczy pakiet SDK obejmujący kilka powiązanych usług, w tym spersonalizowany przycisk, jedno dotknięcie, logowanie automatyczne i autoryzację. W porównaniu ze standardowymi protokołami OAuth i OpenID Connect mają one być łatwiejsze i bezpieczniejsze dla programistów niż standardowe protokoły OAuth i OpenID Connect, a jednocześnie pozwalają zwiększyć wygodę użytkowników.

Funkcja Zaloguj się przez Google działa w oparciu o protokół OAuth 2.0. Uprawnienia przyznane przez funkcję Zaloguj się przez Google są takie same jak dla OAuth i odwrotnie.
OAuth 2.0 jest także standardem branżowym protokołu autoryzacji. Zapewnia zestaw punktów końcowych, z którymi podmioty zależne integrują się za pomocą protokołu HTTP.
Interfejsy API usług tożsamości Google (GIS) są dostępne w kilku językach, w tym w językach JavaScript i HTML, które służą zarówno do uwierzytelniania, jak i autoryzacji.
GIS oddziela moment uwierzytelniania od momentu autoryzacji. W momencie uwierzytelniania możliwa jest szybka integracja, integrując z witryną niektóre elementy interfejsu, takie jak spersonalizowany przycisk, jedno dotknięcie i logowanie automatyczne. Te elementy interfejsu zapewniają spójny interfejs uwierzytelniania na wszystkich stronach zewnętrznych. W momencie autoryzacji GIS uruchamia przepływy OAuth, aby zwrócić tokeny dostępu do danych w imieniu użytkownika.
Uwierzytelnianie GIS ułatwia integrację z podmiotami uzależnionymi i zmniejsza obciążenie deweloperów za informacje dotyczące protokołu OAuth i bezpieczeństwa. Nie musisz wybierać różnych metod uzyskiwania tokenów dostępu ani kodu autoryzacji. Nie musisz też ryzykować konsekwencji wyboru niewłaściwego podejścia. Protokół OAuth 2.0 ujawnia wiele szczegółów, takich jak parametry żądania i odpowiedzi punktów końcowych HTTP, ale GIS zajmuje się tymi szczegółami implementacji za Ciebie. GIS zawiera też domyślnie pewne implementacje zabezpieczeń na potrzeby ochrony przed fałszowaniem żądań (CSRF) w różnych witrynach.
Dzięki interfejsowi API HTML i generatorowi kodu uwierzytelnianie GIS jeszcze bardziej obniża poprzeczkę w zakresie integracji podmiotów zależnych. Nie potrzebujesz do tego programisty JavaScriptu. Pozwala to ograniczyć wymagany poziom obsługi protokołu OAuth i skrócić czas potrzebny na jego wdrożenie.
UX autoryzacji GIS jest w całości oparty na interfejsie OAuth. Biblioteka JavaScript GIS nakłada jednak pewne ograniczenia, aby ułatwić i bezpieczniej korzystać z integracji stron.
GIS udostępnia też niektóre funkcje wykraczające poza protokół OAuth. Integracja obejmuje na przykład interfejsy Password Credential Manager API i Federated Credential Manager API.

Dzięki usługom tożsamości Google deweloperzy mogą korzystać ze specjalnej, zintegrowanej usługi, która pomaga użytkownikom w logowaniu się w witrynie i aplikacjach dewelopera przy użyciu wybranych przez użytkownika danych logowania. GIS ma obsługiwać i uprościć obsługę wielu typów danych logowania w celu obniżenia kosztów technicznych związanych z integracją jednostki uzależnionej.

Federated Credential Manager (FedCM)

W ramach inicjatywy Piaskownica prywatności Chrome wycofuje obsługę plików cookie innych firm. GIS integruje FedCM API, czyli nową, chroniącą prywatność alternatywę dla plików cookie innych firm dla dostawców tożsamości sfederowanych. W kwietniu 2024 r. GIS rozpocznie migrację wszystkich witryn do FedCM w przeglądarce Chrome.

Oddzielne momenty uwierzytelniania i autoryzacji

Aby uzyskać token dostępu na potrzeby interfejsów API Google lub uzyskać dostęp do danych użytkownika, musisz wywołać interfejs Google Identity Services Authorization API. To osobny interfejs JavaScript API, ale w pakiecie z interfejsem API uwierzytelniania.

Jeśli Twoja witryna musi wywoływać interfejsy API uwierzytelniania i autoryzacji, musisz je wywoływać oddzielnie w różnych momentach. Obecnie witryna może integrować się z jednym dotknięciem, automatycznym logowaniem i przyciskiem Zaloguj się przez Google, co pozwala użytkownikom na logowanie się lub rejestrowanie się w witrynie. Później, gdy dostęp do danych z Google będzie wymagany, trzeba wywołać interfejs API autoryzacji, aby poprosić o zgodę i uzyskać tokeny dostępu do danych. Ten podział jest zgodny z naszymi zalecanymi sprawdzonymi metodami dotyczącymi dodatkowej autoryzacji, w przypadku których prośby o uprawnienia są wymagane w kontekście.

Aby wymusić stosowanie tego rozdzielenia, interfejs API uwierzytelniania może zwracać tylko tokeny identyfikacyjne używane do logowania się w witrynie, natomiast interfejs API autoryzacji może zwracać tylko kod lub tokeny dostępu, które są używane tylko do dostępu do danych, ale nie do logowania.

Dzięki temu podziałowi użytkownicy korzystają z jednego systemu uwierzytelniania w różnych witrynach, co może zwiększać ich zaufanie i wykorzystanie, a także zwiększać współczynniki konwersji użytkowników w Twojej witrynie. Poza tym z powodu tego rozdzielenia usługi tożsamości Google zmniejszają wymagany poziom obsługi protokołu OAuth i skracają czas jego wdrożenia dla deweloperów uwierzytelniania.