التحقّق من رمز Google ID المميّز من جهة الخادم

بعد أن يعرض محرّك بحث Google الرمز المميّز للمعرّف، يتم إرساله من خلال طلب طريقة HTTP POST، مع اسم المَعلمة credential، إلى نقطة نهاية تسجيل الدخول.

فيما يلي مثال بلغة بايثون يعرض الخطوات المعتادة للتحقق من صحة الرمز المميز للمعرف واستهلاكه:

1. تحقَّق من الرمز المميّز لتزوير الطلبات من مواقع إلكترونية متعددة (CSRF). عند إرسال بيانات الاعتماد إلى نقطة نهاية تسجيل الدخول، نستخدم نمط ملف تعريف الارتباط للإرسال المزدوج لمنع هجمات CSRF. قبل كل عملية إرسال، ننشئ رمزًا مميّزًا. وبعد ذلك، يتم وضع الرمز في كل من ملف تعريف الارتباط ونص المشاركة، كما هو موضح في مثال الرمز التالي:

   csrf_token_cookie = self.request.cookies.get('g_csrf_token')
   if not csrf_token_cookie:
       webapp2.abort(400, 'No CSRF token in Cookie.')
   csrf_token_body = self.request.get('g_csrf_token')
   if not csrf_token_body:
       webapp2.abort(400, 'No CSRF token in post body.')
   if csrf_token_cookie != csrf_token_body:
       webapp2.abort(400, 'Failed to verify double submit cookie.')
   

2. تأكَّد من الرمز المميّز للمعرّف.

   如需验证令牌是否有效，请确保满足以下条件：

   • ID 令牌由 Google 正确签名。使用 Google 的公钥（以 JWK 或 PEM 格式提供）来验证令牌的签名。这些密钥会定期轮替；请检查响应中的 Cache-Control 标头，以确定何时应再次检索它们。
   • ID 令牌中 aud 的值等于应用的某个客户端 ID。通过进行这项检查，可以防止向恶意应用颁发的 ID 令牌用于访问应用后端服务器上同一用户的数据。
   • ID 令牌中 iss 的值等于 accounts.google.com 或 https://accounts.google.com。
   • ID 令牌的过期时间 (exp) 尚未过去。
   • 如果您需要验证该 ID 令牌代表的是 Google Workspace 或 Cloud 组织帐号，则可以检查 hd 声明，该声明指示用户的托管网域。仅允许特定网域的成员访问资源时，必须使用此方法。缺少此声明表示帐号不属于 Google 托管的网域。

   我们强烈建议您使用适合您的平台的 Google API 客户端库或通用 JWT 库，而不是自行编写代码来执行这些验证步骤。对于开发和调试，您可以调用我们的 tokeninfo 验证端点。

   استخدام مكتبة برامج Google API

   باستخدام إحدى مكتبات عملاء Google API (على سبيل المثال، Java وNode.js وPHP وPython) هي الطريقة الموصى بها للتحقق من صحة رموز Google ID المميزة في بيئة الإنتاج.

   Java

   للتحقّق من صحة الرمز المميّز للمعرّف في لغة Java، استخدِم الكائن GoogleIdTokenVerifier. مثال:

   import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
   import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload;
   import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;
   
   ...
   
   GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
       // Specify the CLIENT_ID of the app that accesses the backend:
       .setAudience(Collections.singletonList(CLIENT_ID))
       // Or, if multiple clients access the backend:
       //.setAudience(Arrays.asList(CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3))
       .build();
   
   // (Receive idTokenString by HTTPS POST)
   
   GoogleIdToken idToken = verifier.verify(idTokenString);
   if (idToken != null) {
     Payload payload = idToken.getPayload();
   
     // Print user identifier
     String userId = payload.getSubject();
     System.out.println("User ID: " + userId);
   
     // Get profile information from payload
     String email = payload.getEmail();
     boolean emailVerified = Boolean.valueOf(payload.getEmailVerified());
     String name = (String) payload.get("name");
     String pictureUrl = (String) payload.get("picture");
     String locale = (String) payload.get("locale");
     String familyName = (String) payload.get("family_name");
     String givenName = (String) payload.get("given_name");
   
     // Use or store profile information
     // ...
   
   } else {
     System.out.println("Invalid ID token.");
   }

   يتم استخدام طريقة GoogleIdTokenVerifier.verify() للتحقّق من توقيع JWT ومطالبة aud ومطالبة iss وexp.

   إذا كنت بحاجة إلى التحقق من أنّ الرمز المميّز لرقم التعريف يمثّل حساب مؤسسة على Google Workspace أو Cloud، يمكنك إثبات صحة المطالبة باستخدام hd من خلال التحقّق من اسم النطاق الذي تعرضه طريقة Payload.getHostedDomain(). إنّ نطاق المطالبة email غير كافٍ لضمان إدارة الحساب من خلال نطاق أو مؤسسة.

   Node.js

   للتحقّق من رمز مميّز للمعرّف في Node.js، استخدم Google Auth Library لـ Node.js. تثبيت المكتبة:

   npm install google-auth-library --save

   بعد ذلك، يمكنك استدعاء الدالة verifyIdToken(). مثال:

   const {OAuth2Client} = require('google-auth-library');
   const client = new OAuth2Client();
   async function verify() {
     const ticket = await client.verifyIdToken({
         idToken: token,
         audience: CLIENT_ID,  // Specify the CLIENT_ID of the app that accesses the backend
         // Or, if multiple clients access the backend:
         //[CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]
     });
     const payload = ticket.getPayload();
     const userid = payload['sub'];
     // If the request specified a Google Workspace domain:
     // const domain = payload['hd'];
   }
   verify().catch(console.error);
   

   تتحقّق الدالة verifyIdToken من توقيع JWT ومطالبة aud ومطالبة exp وiss.

   إذا كنت بحاجة إلى التحقق من أنّ الرمز المميّز لرقم التعريف يمثّل حساب مؤسسة على Google Workspace أو Cloud، يمكنك مراجعة مطالبة hd التي تشير إلى النطاق المستضاف للمستخدم. ويجب استخدام هذه الطريقة عند تقييد الوصول إلى مورد معيّن على أعضاء نطاقات معيّنة فقط. في حال عدم تقديم هذا الادّعاء، يشير إلى أنّ الحساب لا ينتمي إلى نطاق تستضيفه Google.

   PHP

   للتحقّق من صحة رمز مميّز لرقم التعريف في لغة PHP، يمكنك استخدام مكتبة برامج Google API للغة PHP. ثبِّت المكتبة (على سبيل المثال، باستخدام Composer):

   composer require google/apiclient

   بعد ذلك، استدعِ الدالة verifyIdToken(). مثال:

   require_once 'vendor/autoload.php';
   
   // Get $id_token via HTTPS POST.
   
   $client = new Google_Client(['client_id' => $CLIENT_ID]);  // Specify the CLIENT_ID of the app that accesses the backend
   $payload = $client->verifyIdToken($id_token);
   if ($payload) {
     $userid = $payload['sub'];
     // If the request specified a Google Workspace domain
     //$domain = $payload['hd'];
   } else {
     // Invalid ID token
   }
   

   تتحقّق الدالة verifyIdToken من توقيع JWT ومطالبة aud ومطالبة exp وiss.

   إذا كنت بحاجة إلى التحقق من أنّ الرمز المميّز لرقم التعريف يمثّل حساب مؤسسة على Google Workspace أو Cloud، يمكنك مراجعة مطالبة hd التي تشير إلى النطاق المستضاف للمستخدم. ويجب استخدام هذه الطريقة عند تقييد الوصول إلى مورد معيّن على أعضاء نطاقات معيّنة فقط. في حال عدم تقديم هذا الادّعاء، يشير إلى أنّ الحساب لا ينتمي إلى نطاق تستضيفه Google.

   Python

   للتحقق من الرمز المميز للمعرّف في بايثون، يمكنك استخدام الدالة verify_oauth2_token. مثال:

   from google.oauth2 import id_token
   from google.auth.transport import requests
   
   # (Receive token by HTTPS POST)
   # ...
   
   try:
       # Specify the CLIENT_ID of the app that accesses the backend:
       idinfo = id_token.verify_oauth2_token(token, requests.Request(), CLIENT_ID)
   
       # Or, if multiple clients access the backend server:
       # idinfo = id_token.verify_oauth2_token(token, requests.Request())
       # if idinfo['aud'] not in [CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]:
       #     raise ValueError('Could not verify audience.')
   
       # If the request specified a Google Workspace domain
       # if idinfo['hd'] != DOMAIN_NAME:
       #     raise ValueError('Wrong domain name.')
   
       # ID token is valid. Get the user's Google Account ID from the decoded token.
       userid = idinfo['sub']
   except ValueError:
       # Invalid token
       pass
   

   تتحقّق الدالة verify_oauth2_token من توقيع JWT ومطالبة aud ومطالبة exp. يجب أيضًا إثبات صحة المطالبة hd (إذا كان ذلك منطبقًا) من خلال فحص العنصر الذي يعرضه verify_oauth2_token. في حال وصول عدة برامج إلى خادم الخلفية، أثبِت صحة مطالبة aud يدويًا أيضًا.

3. بعد التأكد من صلاحية الرمز، يمكنك استخدام المعلومات الواردة في الرمز المميز لمعرّف Google لربط حالة الحساب لموقعك الإلكتروني:

   • مستخدم غير مسجَّل: يمكنك عرض واجهة مستخدم للاشتراك تتيح للمستخدم تقديم معلومات إضافية في الملف الشخصي، إذا كان ذلك مطلوبًا. ويسمح أيضًا للمستخدم بإنشاء حساب جديد وجلسة مستخدم مسجَّل الدخول بدون اتصال.

   • حساب حالي متوفّر حاليًا على موقعك الإلكتروني: يمكنك عرض صفحة ويب تتيح للمستخدم النهائي إدخال كلمة المرور وربط الحساب القديم ببيانات اعتماد Google. يؤكد هذا أن المستخدم لديه حق الوصول إلى الحساب الحالي.

   • مستخدم موحّد مكرّر الزيارة: يمكنك تسجيل دخول المستخدم بدون تنبيه صوتي.