আপনার সার্ভার সাইডে গুগল আইডি টোকেন যাচাই করুন

Google একটি আইডি টোকেন ফেরত দেওয়ার পরে, এটি একটি HTTP POST পদ্ধতির অনুরোধ দ্বারা, প্যারামিটার নামের credential সহ, আপনার লগইন এন্ডপয়েন্টে জমা দেওয়া হয়।

নিম্নলিখিতটি পাইথন ভাষার একটি উদাহরণ যা আইডি টোকেনকে বৈধতা এবং ব্যবহার করার সাধারণ পদক্ষেপগুলি দেখায়:

  1. ক্রস-সাইট রিকোয়েস্ট ফোরজি (CSRF) টোকেন যাচাই করুন। আপনি যখন আপনার লগইন এন্ডপয়েন্টে শংসাপত্র জমা দেন, তখন আমরা CSRF আক্রমণ প্রতিরোধ করতে ডবল-সাবমিট-কুকি প্যাটার্ন ব্যবহার করি। প্রতিটি জমা দেওয়ার আগে, আমরা একটি টোকেন তৈরি করি। তারপর, টোকেনটি কুকি এবং পোস্ট বডি উভয়ের মধ্যে রাখা হয়, যেমনটি নিম্নলিখিত কোড উদাহরণে দেখানো হয়েছে:

    csrf_token_cookie = self.request.cookies.get('g_csrf_token')
    if not csrf_token_cookie:
        webapp2.abort(400, 'No CSRF token in Cookie.')
    csrf_token_body = self.request.get('g_csrf_token')
    if not csrf_token_body:
        webapp2.abort(400, 'No CSRF token in post body.')
    if csrf_token_cookie != csrf_token_body:
        webapp2.abort(400, 'Failed to verify double submit cookie.')
  2. আইডি টোকেন যাচাই করুন।

    টোকেনটি বৈধ কিনা তা যাচাই করতে, নিম্নলিখিত মানদণ্ডগুলি সন্তুষ্ট তা নিশ্চিত করুন:

    • আইডি টোকেনটি Google দ্বারা সঠিকভাবে স্বাক্ষরিত। টোকেনের স্বাক্ষর যাচাই করতে Google-এর সর্বজনীন কী ( JWK বা PEM ফর্ম্যাটে উপলব্ধ) ব্যবহার করুন। এই কীগুলি নিয়মিত ঘোরানো হয়; আপনার কখন সেগুলি আবার পুনরুদ্ধার করা উচিত তা নির্ধারণ করতে প্রতিক্রিয়াতে Cache-Control শিরোনামটি পরীক্ষা করুন।
    • আইডি টোকেনে aud মান আপনার অ্যাপের ক্লায়েন্ট আইডিগুলির একটির সমান। আপনার অ্যাপ্লিকেশানের ব্যাকএন্ড সার্ভারে একই ব্যবহারকারীর ডেটা অ্যাক্সেস করতে ব্যবহৃত কোনও দূষিত অ্যাপে জারি করা আইডি টোকেনগুলি প্রতিরোধ করতে এই চেকটি প্রয়োজনীয়৷
    • ID টোকেনে iss এর মান accounts.google.com বা https://accounts.google.com এর সমান।
    • আইডি টোকেনের exp শেষ হয় নি।
    • আপনি যদি আইডি টোকেনটি Google Workspace বা ক্লাউড সংস্থার অ্যাকাউন্টের প্রতিনিধিত্ব করে তা যাচাই করতে চান, তাহলে আপনি hd দাবিটি পরীক্ষা করতে পারেন, যা ব্যবহারকারীর হোস্ট করা ডোমেন নির্দেশ করে। শুধুমাত্র নির্দিষ্ট ডোমেনের সদস্যদের জন্য একটি সম্পদের অ্যাক্সেস সীমাবদ্ধ করার সময় এটি অবশ্যই ব্যবহার করা উচিত। এই দাবির অনুপস্থিতি নির্দেশ করে যে অ্যাকাউন্টটি Google হোস্ট করা ডোমেনের অন্তর্গত নয়।

    email , email_verified এবং hd ক্ষেত্রগুলি ব্যবহার করে, আপনি নির্ধারণ করতে পারেন যে Google হোস্ট করে এবং একটি ইমেল ঠিকানার জন্য অনুমোদিত কিনা। যে ক্ষেত্রে Google কর্তৃত্বপূর্ণ, ব্যবহারকারী বৈধ অ্যাকাউন্টের মালিক হিসাবে পরিচিত, এবং আপনি পাসওয়ার্ড বা অন্যান্য চ্যালেঞ্জ পদ্ধতি এড়িয়ে যেতে পারেন।

    যেসব ক্ষেত্রে Google কর্তৃত্বপূর্ণ:

    • email একটি @gmail.com প্রত্যয় রয়েছে, এটি একটি Gmail অ্যাকাউন্ট।
    • email_verified সত্য এবং hd সেট করা আছে, এটি একটি G Suite অ্যাকাউন্ট।

    ব্যবহারকারীরা Gmail বা G Suite ব্যবহার না করে Google অ্যাকাউন্টের জন্য নিবন্ধন করতে পারেন। যখন email @gmail.com প্রত্যয় থাকে না এবং hd অনুপস্থিত থাকে, তখন Google অনুমোদিত নয় এবং ব্যবহারকারীকে যাচাই করার জন্য পাসওয়ার্ড বা অন্যান্য চ্যালেঞ্জ পদ্ধতি সুপারিশ করা হয়। email_verified ও সত্য হতে পারে কারণ Google প্রাথমিকভাবে ব্যবহারকারীকে যাচাই করেছিল যখন Google অ্যাকাউন্ট তৈরি হয়েছিল, তবে তৃতীয় পক্ষের ইমেল অ্যাকাউন্টের মালিকানা তখন থেকে পরিবর্তিত হতে পারে।

    এই যাচাইকরণ পদক্ষেপগুলি সম্পাদন করার জন্য আপনার নিজের কোড লেখার পরিবর্তে, আমরা দৃঢ়ভাবে আপনার প্ল্যাটফর্মের জন্য একটি Google API ক্লায়েন্ট লাইব্রেরি বা একটি সাধারণ-উদ্দেশ্য JWT লাইব্রেরি ব্যবহার করার পরামর্শ দিই। ডেভেলপমেন্ট এবং ডিবাগিংয়ের জন্য, আপনি আমাদের tokeninfo যাচাইকরণ শেষ পয়েন্টে কল করতে পারেন।

    একটি Google API ক্লায়েন্ট লাইব্রেরি ব্যবহার করা

    Google API ক্লায়েন্ট লাইব্রেরিগুলির একটি ব্যবহার করা (যেমন Java , Node.js , PHP , Python ) হল একটি প্রোডাকশন পরিবেশে Google আইডি টোকেন যাচাই করার প্রস্তাবিত উপায়৷

    জাভা

    জাভাতে একটি আইডি টোকেন যাচাই করতে, GoogleIdTokenVerifier অবজেক্ট ব্যবহার করুন। যেমন:

    import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
    import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload;
    import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;
    
    ...
    
    GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
        // Specify the CLIENT_ID of the app that accesses the backend:
        .setAudience(Collections.singletonList(CLIENT_ID))
        // Or, if multiple clients access the backend:
        //.setAudience(Arrays.asList(CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3))
        .build();
    
    // (Receive idTokenString by HTTPS POST)
    
    GoogleIdToken idToken = verifier.verify(idTokenString);
    if (idToken != null) {
      Payload payload = idToken.getPayload();
    
      // Print user identifier
      String userId = payload.getSubject();
      System.out.println("User ID: " + userId);
    
      // Get profile information from payload
      String email = payload.getEmail();
      boolean emailVerified = Boolean.valueOf(payload.getEmailVerified());
      String name = (String) payload.get("name");
      String pictureUrl = (String) payload.get("picture");
      String locale = (String) payload.get("locale");
      String familyName = (String) payload.get("family_name");
      String givenName = (String) payload.get("given_name");
    
      // Use or store profile information
      // ...
    
    } else {
      System.out.println("Invalid ID token.");
    }

    GoogleIdTokenVerifier.verify() পদ্ধতি JWT স্বাক্ষর, aud দাবি, iss দাবি এবং exp দাবি যাচাই করে।

    আপনি যদি আইডি টোকেনটি Google Workspace বা ক্লাউড সংস্থার অ্যাকাউন্টের প্রতিনিধিত্ব করে তা যাচাই করতে চান, তাহলে আপনি Payload.getHostedDomain() পদ্ধতিতে ফেরত দেওয়া ডোমেন নাম চেক করে hd দাবিটি যাচাই করতে পারেন। অ্যাকাউন্টটি একটি ডোমেন বা সংস্থা দ্বারা পরিচালিত হয় তা নিশ্চিত করার জন্য email দাবির ডোমেন অপর্যাপ্ত৷

    Node.js

    Node.js-এ একটি আইডি টোকেন যাচাই করতে, Node.js-এর জন্য Google Auth Library ব্যবহার করুন। লাইব্রেরি ইনস্টল করুন:

    npm install google-auth-library --save
    তারপর, verifyIdToken() ফাংশনটি কল করুন। যেমন:

    const {OAuth2Client} = require('google-auth-library');
    const client = new OAuth2Client();
    async function verify() {
      const ticket = await client.verifyIdToken({
          idToken: token,
          audience: CLIENT_ID,  // Specify the CLIENT_ID of the app that accesses the backend
          // Or, if multiple clients access the backend:
          //[CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]
      });
      const payload = ticket.getPayload();
      const userid = payload['sub'];
      // If the request specified a Google Workspace domain:
      // const domain = payload['hd'];
    }
    verify().catch(console.error);

    verifyIdToken ফাংশন JWT স্বাক্ষর, aud দাবি, exp claim এবং iss দাবি যাচাই করে।

    আপনি যদি আইডি টোকেনটি Google Workspace বা ক্লাউড সংস্থার অ্যাকাউন্টের প্রতিনিধিত্ব করে তা যাচাই করতে চান, তাহলে আপনি hd দাবিটি পরীক্ষা করতে পারেন, যা ব্যবহারকারীর হোস্ট করা ডোমেন নির্দেশ করে। শুধুমাত্র নির্দিষ্ট ডোমেনের সদস্যদের জন্য একটি সম্পদের অ্যাক্সেস সীমাবদ্ধ করার সময় এটি অবশ্যই ব্যবহার করা উচিত। এই দাবির অনুপস্থিতি নির্দেশ করে যে অ্যাকাউন্টটি Google হোস্ট করা ডোমেনের অন্তর্গত নয়।

    পিএইচপি

    পিএইচপি-তে একটি আইডি টোকেন যাচাই করতে, পিএইচপি-এর জন্য Google API ক্লায়েন্ট লাইব্রেরি ব্যবহার করুন। লাইব্রেরি ইনস্টল করুন (উদাহরণস্বরূপ, কম্পোজার ব্যবহার করে):

    composer require google/apiclient
    তারপর, verifyIdToken() ফাংশনটি কল করুন। যেমন:

    require_once 'vendor/autoload.php';
    
    // Get $id_token via HTTPS POST.
    
    $client = new Google_Client(['client_id' => $CLIENT_ID]);  // Specify the CLIENT_ID of the app that accesses the backend
    $payload = $client->verifyIdToken($id_token);
    if ($payload) {
      $userid = $payload['sub'];
      // If the request specified a Google Workspace domain
      //$domain = $payload['hd'];
    } else {
      // Invalid ID token
    }

    verifyIdToken ফাংশন JWT স্বাক্ষর, aud দাবি, exp claim এবং iss দাবি যাচাই করে।

    আপনি যদি আইডি টোকেনটি Google Workspace বা ক্লাউড সংস্থার অ্যাকাউন্টের প্রতিনিধিত্ব করে তা যাচাই করতে চান, তাহলে আপনি hd দাবিটি পরীক্ষা করতে পারেন, যা ব্যবহারকারীর হোস্ট করা ডোমেন নির্দেশ করে। শুধুমাত্র নির্দিষ্ট ডোমেনের সদস্যদের জন্য একটি সম্পদের অ্যাক্সেস সীমাবদ্ধ করার সময় এটি অবশ্যই ব্যবহার করা উচিত। এই দাবির অনুপস্থিতি নির্দেশ করে যে অ্যাকাউন্টটি Google হোস্ট করা ডোমেনের অন্তর্গত নয়।

    পাইথন

    পাইথনে একটি আইডি টোকেন যাচাই করতে, verify_oauth2_token ফাংশনটি ব্যবহার করুন। যেমন:

    from google.oauth2 import id_token
    from google.auth.transport import requests
    
    # (Receive token by HTTPS POST)
    # ...
    
    try:
        # Specify the CLIENT_ID of the app that accesses the backend:
        idinfo = id_token.verify_oauth2_token(token, requests.Request(), CLIENT_ID)
    
        # Or, if multiple clients access the backend server:
        # idinfo = id_token.verify_oauth2_token(token, requests.Request())
        # if idinfo['aud'] not in [CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]:
        #     raise ValueError('Could not verify audience.')
    
        # If the request specified a Google Workspace domain
        # if idinfo['hd'] != DOMAIN_NAME:
        #     raise ValueError('Wrong domain name.')
    
        # ID token is valid. Get the user's Google Account ID from the decoded token.
        userid = idinfo['sub']
    except ValueError:
        # Invalid token
        pass

    verify_oauth2_token ফাংশন JWT স্বাক্ষর, aud দাবি এবং exp দাবি যাচাই করে। যে বস্তুটি verify_oauth2_token ফেরত দেয় তা পরীক্ষা করে আপনাকে অবশ্যই hd দাবি (যদি প্রযোজ্য হয়) যাচাই করতে হবে। যদি একাধিক ক্লায়েন্ট ব্যাকএন্ড সার্ভার অ্যাক্সেস করে, তাহলে নিজেও aud দাবি যাচাই করুন।

  3. একবার টোকেনের বৈধতা নিশ্চিত হয়ে গেলে, আপনি আপনার সাইটের অ্যাকাউন্টের স্থিতির সাথে সম্পর্কযুক্ত করতে Google আইডি টোকেনের তথ্য ব্যবহার করতে পারেন:

    • একটি অনিবন্ধিত ব্যবহারকারী: আপনি একটি সাইন-আপ ইউজার ইন্টারফেস (UI) দেখাতে পারেন যা ব্যবহারকারীকে প্রয়োজনে অতিরিক্ত প্রোফাইল তথ্য প্রদান করতে দেয়। এটি ব্যবহারকারীকে নীরবে নতুন অ্যাকাউন্ট এবং একটি লগ-ইন ব্যবহারকারী সেশন তৈরি করার অনুমতি দেয়।

    • আপনার সাইটে ইতিমধ্যেই বিদ্যমান একটি বিদ্যমান অ্যাকাউন্ট: আপনি একটি ওয়েব পৃষ্ঠা দেখাতে পারেন যা শেষ ব্যবহারকারীকে তাদের পাসওয়ার্ড ইনপুট করতে এবং তাদের Google শংসাপত্রের সাথে লিগ্যাসি অ্যাকাউন্ট লিঙ্ক করতে দেয়৷ এটি নিশ্চিত করে যে ব্যবহারকারীর বিদ্যমান অ্যাকাউন্টে অ্যাক্সেস রয়েছে।

    • ফিরে আসা ফেডারেটেড ব্যবহারকারী: আপনি নীরবে ব্যবহারকারীকে সাইন ইন করতে পারেন।