Xác minh mã thông báo giá trị nhận dạng của Google ở phía máy chủ

Sau khi Google trả về một mã thông báo nhận dạng, mã thông báo này sẽ được gửi bằng một yêu cầu phương thức POST HTTP, với tên tham số là credential, đến điểm cuối đăng nhập của bạn.

Sau đây là ví dụ về ngôn ngữ Python cho thấy các bước thông thường để xác thực và sử dụng mã thông báo nhận dạng:

  1. Xác minh mã thông báo Giả mạo yêu cầu trên nhiều trang web (CSRF). Khi bạn gửi thông tin xác thực đến điểm cuối đăng nhập, chúng tôi sử dụng mẫu gửi cookie hai lần để ngăn các cuộc tấn công CSRF. Trước mỗi lần gửi, chúng ta sẽ tạo một mã thông báo. Sau đó, mã thông báo được đưa vào cả cookie và nội dung bài đăng, như trong ví dụ mã sau:

    csrf_token_cookie = self.request.cookies.get('g_csrf_token')
if not csrf_token_cookie:
    webapp2.abort(400, 'No CSRF token in Cookie.')
csrf_token_body = self.request.get('g_csrf_token')
if not csrf_token_body:
    webapp2.abort(400, 'No CSRF token in post body.')
if csrf_token_cookie != csrf_token_body:
    webapp2.abort(400, 'Failed to verify double submit cookie.')

  2. Xác minh mã thông báo nhận dạng.

    Để xác minh rằng mã thông báo hợp lệ, hãy đảm bảo rằng bạn đáp ứng các tiêu chí sau:

    • Mã thông báo nhận dạng được Google ký đúng cách. Sử dụng khoá công khai của Google (có ở định dạng JWK hoặc PEM) để xác minh chữ ký của mã thông báo. Các khoá này được xoay vòng thường xuyên; hãy kiểm tra tiêu đề Cache-Control trong phản hồi để xác định thời điểm bạn nên truy xuất lại các khoá này.
    • Giá trị của aud trong mã thông báo nhận dạng bằng một trong các mã ứng dụng khách của ứng dụng. Bạn cần thực hiện bước kiểm tra này để ngăn chặn việc sử dụng mã nhận dạng (ID) được cấp cho một ứng dụng độc hại nhằm truy cập vào dữ liệu về cùng một người dùng trên máy chủ phụ trợ của ứng dụng.
    • Giá trị của iss trong mã thông báo nhận dạng bằng accounts.google.com hoặc https://accounts.google.com.
    • Thời gian hết hạn (exp) của mã thông báo nhận dạng chưa trôi qua.
    • Nếu cần xác thực rằng mã thông báo nhận dạng đại diện cho tài khoản tổ chức Google Workspace hoặc Cloud, bạn có thể kiểm tra khai báo hd. Khai báo này cho biết miền được lưu trữ của người dùng. Bạn phải sử dụng tham số này khi chỉ cho phép thành viên của một số miền nhất định truy cập vào một tài nguyên. Việc thiếu xác nhận quyền sở hữu này cho biết rằng tài khoản không thuộc về một miền do Google lưu trữ.

    Bằng cách sử dụng các trường email, email_verifiedhd, bạn có thể xác định xem Google có lưu trữ và có quyền đối với một địa chỉ email hay không. Trong trường hợp Google là nguồn đáng tin cậy, người dùng được xác định là chủ sở hữu hợp pháp của tài khoản và bạn có thể bỏ qua mật khẩu hoặc các phương thức thử thách khác.

    Các trường hợp Google là nguồn thông tin xác thực:

    • email có đuôi là @gmail.com, đây là tài khoản Gmail.
    • email_verified là true và hd được đặt, thì đây là tài khoản Google Workspace.

    Người dùng có thể đăng ký Tài khoản Google mà không cần sử dụng Gmail hoặc Google Workspace. Khi email không chứa hậu tố @gmail.com và không có hd, Google không phải là nguồn có thẩm quyền và bạn nên dùng mật khẩu hoặc các phương thức thử thách khác để xác minh người dùng. email_verified cũng có thể đúng vì ban đầu Google đã xác minh người dùng khi tài khoản Google được tạo. Tuy nhiên, quyền sở hữu tài khoản email bên thứ ba có thể đã thay đổi kể từ đó.

    Thay vì tự viết mã để thực hiện các bước xác minh này, bạn nên sử dụng một thư viện ứng dụng API của Google cho nền tảng của mình hoặc một thư viện JWT đa năng. Để phát triển và gỡ lỗi, bạn có thể gọi điểm cuối xác thực tokeninfo của chúng tôi.

    使用 Google API 客户端库

    使用某个 Google API 客户端库(例如 JavaNode.jsPHPPython) 是在生产环境中验证 Google ID 令牌的推荐方法。

    <ph type="x-smartling-placeholder">
    </ph> <ph type="x-smartling-placeholder">
    </ph>
    Java

    要在 Java 中验证 ID 令牌,请使用 GoogleIdTokenVerifier 对象。例如:

    import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;

...

GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
    // Specify the WEB_CLIENT_ID of the app that accesses the backend:
    .setAudience(Collections.singletonList(WEB_CLIENT_ID))
    // Or, if multiple clients access the backend:
    //.setAudience(Arrays.asList(WEB_CLIENT_ID_1, WEB_CLIENT_ID_2, WEB_CLIENT_ID_3))
    .build();

// (Receive idTokenString by HTTPS POST)

GoogleIdToken idToken = verifier.verify(idTokenString);
if (idToken != null) {
  Payload payload = idToken.getPayload();

  // Print user identifier
  String userId = payload.getSubject();
  System.out.println("User ID: " + userId);

  // Get profile information from payload
  String email = payload.getEmail();
  boolean emailVerified = Boolean.valueOf(payload.getEmailVerified());
  String name = (String) payload.get("name");
  String pictureUrl = (String) payload.get("picture");
  String locale = (String) payload.get("locale");
  String familyName = (String) payload.get("family_name");
  String givenName = (String) payload.get("given_name");

  // Use or store profile information
  // ...

} else {
  System.out.println("Invalid ID token.");
}

    GoogleIdTokenVerifier.verify() 方法验证 JWT 签名、aud 声明、iss 声明以及 exp 项版权主张。

    如果您需要验证 ID 令牌是否代表 Google Workspace 或 Cloud 组织账号,您可以通过检查域名来验证 hd 所有权声明 由 Payload.getHostedDomain() 方法返回。该 email 声明不足以保证账号是由网域管理 或组织。

    。 <ph type="x-smartling-placeholder">
    </ph>
    Node.js

    要在 Node.js 中验证 ID 令牌,请使用适用于 Node.js 的 Google Auth 库。 安装该库: 

    npm install google-auth-library --save
     然后,调用 verifyIdToken() 函数。例如:

    const {OAuth2Client} = require('google-auth-library');
const client = new OAuth2Client();
async function verify() {
  const ticket = await client.verifyIdToken({
      idToken: token,
      audience: WEB_CLIENT_ID,  // Specify the WEB_CLIENT_ID of the app that accesses the backend
      // Or, if multiple clients access the backend:
      //[WEB_CLIENT_ID_1, WEB_CLIENT_ID_2, WEB_CLIENT_ID_3]
  });
  const payload = ticket.getPayload();
  const userid = payload['sub'];
  // If the request specified a Google Workspace domain:
  // const domain = payload['hd'];
}
verify().catch(console.error);

    verifyIdToken 函数用于验证 JWT 签名、aud 声明、exp 声明 以及 iss 声明。

    如果您需要验证 ID 令牌是否代表 Google Workspace 或 Cloud 组织账号时,您可以查看 hd 声明,该声明表示托管的 用户的网域。将资源访问权限限制为仅允许成员访问时,必须使用此设置 特定网域的用户缺少此声明即表示该账号不属于 Google 托管的域。

    。 <ph type="x-smartling-placeholder">
    </ph>
    PHP

    要在 PHP 中验证 ID 令牌,请使用适用于 PHP 的 Google API 客户端库。 安装该库(例如,使用 Composer): 

    composer require google/apiclient
     然后,调用 verifyIdToken() 函数。例如:

    require_once 'vendor/autoload.php';

// Get $id_token via HTTPS POST.

$client = new Google_Client(['client_id' => $WEB_CLIENT_ID]);  // Specify the WEB_CLIENT_ID of the app that accesses the backend
$payload = $client->verifyIdToken($id_token);
if ($payload) {
  $userid = $payload['sub'];
  // If the request specified a Google Workspace domain
  //$domain = $payload['hd'];
} else {
  // Invalid ID token
}

    verifyIdToken 函数用于验证 JWT 签名、aud 声明、exp 声明 以及 iss 声明。

    如果您需要验证 ID 令牌是否代表 Google Workspace 或 Cloud 组织账号时,您可以查看 hd 声明,该声明表示托管的 用户的网域。将资源访问权限限制为仅允许成员访问时,必须使用此设置 特定网域的用户缺少此声明即表示该账号不属于 Google 托管的域。

    。 <ph type="x-smartling-placeholder">
    </ph>
    Python

    要在 Python 中验证 ID 令牌,请使用 verify_oauth2_token 函数。例如:

    from google.oauth2 import id_token
from google.auth.transport import requests

# (Receive token by HTTPS POST)
# ...

try:
    # Specify the WEB_CLIENT_ID of the app that accesses the backend:
    idinfo = id_token.verify_oauth2_token(token, requests.Request(), WEB_CLIENT_ID)

    # Or, if multiple clients access the backend server:
    # idinfo = id_token.verify_oauth2_token(token, requests.Request())
    # if idinfo['aud'] not in [WEB_CLIENT_ID_1, WEB_CLIENT_ID_2, WEB_CLIENT_ID_3]:
    #     raise ValueError('Could not verify audience.')

    # If the request specified a Google Workspace domain
    # if idinfo['hd'] != DOMAIN_NAME:
    #     raise ValueError('Wrong domain name.')

    # ID token is valid. Get the user's Google Account ID from the decoded token.
    userid = idinfo['sub']
except ValueError:
    # Invalid token
    pass

    verify_oauth2_token 函数验证 JWT 签名、aud 声明和 exp 声明。 您还必须验证 hd 检查 verify_oauth2_token 返回。如果多个客户端访问 后端服务器,另请手动验证 aud 声明。

  3. Sau khi xác nhận tính hợp lệ của mã thông báo, bạn có thể sử dụng thông tin trong mã thông báo nhận dạng của Google để liên kết trạng thái tài khoản của trang web:

    • Người dùng chưa đăng ký: Bạn có thể hiển thị giao diện người dùng (UI) đăng ký cho phép người dùng cung cấp thêm thông tin hồ sơ, nếu cần. Phương thức này cũng cho phép người dùng tạo tài khoản mới và phiên người dùng đã đăng nhập một cách thầm lặng.

    • Tài khoản hiện có trong trang web của bạn: Bạn có thể hiển thị một trang web cho phép người dùng cuối nhập mật khẩu và liên kết tài khoản cũ với thông tin xác thực của họ trên Google. Điều này xác nhận rằng người dùng có quyền truy cập vào tài khoản hiện có.

    • Người dùng liên kết cũ: Bạn có thể đăng nhập người dùng mà không cần xác thực.