Documentation de référence de l'API HTML Se connecter avec Google

Cette page de référence décrit l'API des attributs de données HTML S'identifier avec Google. Vous pouvez utiliser l'API pour afficher l'invite One Tap ou le bouton "Se connecter avec Google" sur vos pages Web.

Élément avec l'ID "g_id_onload"

Vous pouvez placer les attributs de données S'identifier avec Google dans n'importe quel élément visible ou invisible, tel que <div> et <span>. La seule exigence est que l'ID de l'élément soit défini sur g_id_onload. Ne placez pas cet ID sur plusieurs éléments.

Attributs de données

Le tableau suivant liste les attributs de données et leur description :

Types d'attributs

Les sections suivantes contiennent des informations sur le type de chaque attribut et un exemple.

data-client_id

Cet attribut correspond à l'ID client de votre application, que vous trouverez et créerez dans la console Google Cloud. Pour en savoir plus, consultez le tableau ci-dessous :

data-auto_prompt

Cet attribut détermine si l'authentification en un clic doit être affichée ou non. La valeur par défaut est true. L'authentification Google One n'est pas affichée lorsque cette valeur est définie sur false. Pour en savoir plus, consultez le tableau ci-dessous :

data-auto_select

Cet attribut détermine s'il faut renvoyer un jeton d'identité automatiquement, sans interaction de l'utilisateur, si une seule session Google a approuvé votre application. La valeur par défaut est false. Pour en savoir plus, consultez le tableau ci-dessous :

data-login_uri

Cet attribut correspond à l'URI de votre point de terminaison de connexion.

La valeur doit correspondre exactement à l'un des URI de redirection autorisés pour le client OAuth 2.0 que vous avez configuré dans la plate-forme d'authentification Google. Elle doit également respecter nos règles de validation des URI de redirection.

Cet attribut peut être omis si la page actuelle est votre page de connexion, auquel cas les identifiants sont publiés sur cette page par défaut.

La réponse d'identifiant du jeton d'identité est publiée sur votre point de terminaison de connexion lorsqu'aucune fonction de rappel n'est définie et qu'un utilisateur clique sur les boutons "Se connecter avec Google" ou "One Tap", ou lorsqu'une connexion automatique a lieu.

Votre point de terminaison de connexion doit gérer les requêtes POST contenant un paramètre credential avec une valeur de jeton d'identité dans le corps.

Pour en savoir plus, consultez le tableau ci-dessous :

data-callback

Cet attribut correspond au nom de la fonction JavaScript qui gère le jeton d'identité renvoyé. Pour en savoir plus, consultez le tableau ci-dessous :

L'un des attributs data-login_uri et data-callback peut être utilisé. Il dépend des configurations de composants et de mode UX suivantes :

• L'attribut data-login_uri est obligatoire pour le mode UX du bouton Se connecter avec Google redirect, qui ignore l'attribut data-callback.

• L'un de ces deux attributs doit être défini pour le mode UX One Tap Google et le bouton Se connecter avec Google popup. Si les deux sont définis, l'attribut data-callback est prioritaire.

Les fonctions JavaScript dans un espace de noms ne sont pas compatibles avec l'API HTML. Utilisez plutôt une fonction JavaScript globale sans espace de noms. Par exemple, utilisez mylibCallback au lieu de mylib.callback.

data-native_login_uri

Cet attribut correspond à l'URL du point de terminaison de votre gestionnaire d'identifiants de mot de passe. Si vous définissez l'attribut data-native_login_uri ou l'attribut data-native_callback, la bibliothèque JavaScript revient au gestionnaire d'identifiants intégré lorsqu'il n'y a pas de session Google. Vous n'êtes pas autorisé à définir à la fois les attributs data-native_callback et data-native_login_uri. Pour en savoir plus, consultez le tableau suivant :

data-native_callback

Cet attribut correspond au nom de la fonction JavaScript qui gère les identifiants de mot de passe renvoyés par le gestionnaire d'identifiants intégré du navigateur. Si vous définissez l'attribut data-native_login_uri ou l'attribut data-native_callback, la bibliothèque JavaScript revient au gestionnaire d'identifiants intégré lorsqu'il n'y a pas de session Google. Vous n'êtes pas autorisé à définir à la fois data-native_callback et data-native_login_uri. Pour en savoir plus, consultez le tableau ci-dessous :

Les fonctions JavaScript dans un espace de noms ne sont pas compatibles avec l'API HTML. Utilisez plutôt une fonction JavaScript globale sans espace de noms. Par exemple, utilisez mylibCallback au lieu de mylib.callback.

data-native_id_param

Lorsque vous envoyez l'identifiant de mot de passe au point de terminaison du gestionnaire d'identifiants de mot de passe, vous pouvez spécifier le nom du paramètre pour le champ credential.id. Le nom par défaut est email. Pour en savoir plus, consultez le tableau ci-dessous :

data-native_password_param

Lorsque vous envoyez l'identifiant de mot de passe au point de terminaison du gestionnaire d'identifiants de mot de passe, vous pouvez spécifier le nom du paramètre pour la valeur credential.password. Le nom par défaut est password. Pour en savoir plus, consultez le tableau ci-dessous :

data-cancel_on_tap_outside

Cet attribut permet de déterminer s'il faut annuler la demande One Tap si l'utilisateur clique en dehors de l'invite. La valeur par défaut est true. Pour le désactiver, définissez la valeur sur false. Pour en savoir plus, consultez le tableau ci-dessous :

data-prompt_parent_id

Cet attribut définit l'ID DOM de l'élément de conteneur. S'il n'est pas défini, l'invite One Tap s'affiche en haut à droite de la fenêtre. Pour en savoir plus, consultez le tableau ci-dessous :

data-skip_prompt_cookie

Utilise un cookie pour contrôler l'affichage de l'invite S'identifier en un clic. Si le cookie spécifié par cet attribut a une valeur non vide, l'invite ne s'affiche pas. Pour en savoir plus, consultez le tableau ci-dessous :

data-nonce

Cet attribut est une chaîne aléatoire utilisée par le jeton d'identité pour empêcher les attaques par rejeu. Pour en savoir plus, consultez le tableau ci-dessous :

La longueur du nonce est limitée à la taille JWT maximale acceptée par votre environnement, ainsi qu'aux contraintes de taille HTTP individuelles du navigateur et du serveur.

data-context

Ce champ modifie le texte du titre et des messages affichés dans l'invite S'identifier en un clic. Il n'a aucun effet sur les navigateurs ITP. La valeur par défaut est signin.

Pour en savoir plus, consultez le tableau ci-dessous :

Le tableau suivant répertorie tous les contextes disponibles et leur description :

data-moment_callback

Cet attribut correspond au nom de la fonction du listener de notification de l'état de l'UI d'invite. Pour en savoir plus, consultez le type de données PromptMomentNotification.

Pour en savoir plus, consultez le tableau ci-dessous :

Les fonctions JavaScript dans un espace de noms ne sont pas compatibles avec l'API HTML. Utilisez plutôt une fonction JavaScript globale sans espace de noms. Par exemple, utilisez mylibCallback au lieu de mylib.callback.

data-state_cookie_domain

Si vous devez afficher l'authentification One Tap dans un domaine parent et ses sous-domaines, transmettez le domaine parent à cet attribut afin qu'un seul cookie à état partagé soit utilisé. Pour en savoir plus, consultez le tableau ci-dessous :

data-ux_mode

Cet attribut définit le flux UX utilisé par le bouton "Se connecter avec Google". La valeur par défaut est popup. Cet attribut n'a aucun impact sur l'expérience utilisateur One Tap. Pour en savoir plus, consultez le tableau ci-dessous :

Le tableau suivant répertorie les modes UX disponibles et leur description.

data-allowed_parent_origin

Origines autorisées à intégrer l'iFrame intermédiaire. L'authentification One Tap s'exécute en mode iFrame intermédiaire si cet attribut est présent. Pour en savoir plus, consultez le tableau suivant :

Le tableau suivant répertorie les types de valeurs acceptés et leur description.

Si la valeur de l'attribut data-allowed_parent_origin n'est pas valide, l'initialisation One Tap du mode iframe intermédiaire échouera et s'arrêtera.

Les préfixes génériques sont également acceptés. Par exemple, "https://*.example.com" correspond à example.com et à ses sous-domaines à tous les niveaux (par exemple, news.example.com, login.news.example.com). Voici quelques points à retenir lorsque vous utilisez des caractères génériques :

• Les chaînes de format ne peuvent pas être composées uniquement d'un caractère générique et d'un domaine de premier niveau. Par exemple, https://.com et https://.co.uk ne sont pas valides, car "https://.example.com" correspond à example.com et à tous ses sous-domaines. Utilisez une liste séparée par des virgules pour représenter deux domaines différents. Par exemple, "https://example1.com,https://.example2.com" correspond aux domaines example1.com et example2.com, ainsi qu'aux sous-domaines de example2.com.
• Les domaines génériques doivent commencer par un schéma https:// sécurisé. Par conséquent, "*.example.com" est considéré comme non valide.

data-intermediate_iframe_close_callback

Remplace le comportement par défaut de l 'iFrame intermédiaire lorsque les utilisateurs ferment manuellement One Tap en appuyant sur le bouton X de l'UI One Tap. Le comportement par défaut consiste à supprimer immédiatement l'iFrame intermédiaire du DOM.

Le champ data-intermediate_iframe_close_callback ne prend effet qu'en mode iframe intermédiaire. Il n'a d'impact que sur l'iFrame intermédiaire, et non sur l'iFrame One Tap. L'UI One Tap est supprimée avant l'appel du rappel.

Les fonctions JavaScript dans un espace de noms ne sont pas compatibles avec l'API HTML. Utilisez plutôt une fonction JavaScript globale sans espace de noms. Par exemple, utilisez mylibCallback au lieu de mylib.callback.

data-itp_support

Ce champ détermine si l' expérience utilisateur One Tap améliorée doit être activée sur les navigateurs compatibles avec la fonctionnalité Intelligent Tracking Prevention (ITP). La valeur par défaut est false. Pour en savoir plus, consultez le tableau ci-dessous :

data-login_hint

Si votre application sait à l'avance quel utilisateur doit être connecté, elle peut fournir un indice de connexion à Google. Si l'opération réussit, la sélection du compte est ignorée. Les valeurs acceptées sont une adresse e-mail ou un champ sub de jeton d'identité.

Pour en savoir plus, consultez la documentation OpenID Connect pour login_hint.

data-hd

Lorsqu'un utilisateur possède plusieurs comptes et ne doit se connecter qu'avec son compte Workspace, utilisez cette option pour fournir un indice de nom de domaine à Google. Si l'opération réussit, les comptes utilisateur affichés lors de la sélection du compte sont limités au domaine fourni. Une valeur générique : * ne propose que des comptes Workspace à l'utilisateur et exclut les comptes personnels (user@gmail.com) lors de la sélection du compte.

Pour en savoir plus, consultez la documentation OpenID Connect pour hd.

data-use_fedcm_for_prompt

Autorisez le navigateur à contrôler les invites de connexion des utilisateurs et à gérer le processus de connexion entre votre site Web et Google. Valeur par défaut : "false". Pour en savoir plus, consultez la page Migrer vers FedCM.

data-use_fedcm_for_button

Ce champ détermine si l'interface utilisateur du bouton FedCM doit être utilisée sur Chrome (version M125+ pour ordinateur et M128+ pour Android). La valeur par défaut est false. Pour en savoir plus, consultez le tableau ci-dessous :

data-button_auto_select

Ce champ détermine s'il faut activer l'option Sélection automatique pour le flux du bouton FedCM. Si cette option est activée, les utilisateurs connus disposant d'une session Google active seront automatiquement connectés, sans passer par l'invite du sélecteur de compte. La valeur par défaut est false. Vous devez activer explicitement la connexion automatique par bouton lors du lancement de l'activation. Pour en savoir plus, consultez le tableau ci-dessous :

Élément avec la classe "g_id_signin"

Si vous ajoutez g_id_signin à l'attribut class d'un élément, celui-ci s'affiche sous la forme d'un bouton "Se connecter avec Google".

Vous pouvez afficher plusieurs boutons "Se connecter avec Google" sur la même page. Chaque bouton peut avoir ses propres paramètres visuels. Les paramètres sont définis par les attributs de données suivants.

Attributs de données visuelles

Le tableau suivant répertorie les attributs de données visuelles et leur description :

Types d'attributs

Les sections suivantes contiennent des informations sur le type de chaque attribut et un exemple.

data-type

Type de bouton. La valeur par défaut est standard. Pour en savoir plus, consultez le tableau ci-dessous :

Le tableau suivant répertorie tous les types de boutons disponibles et leur description :

Type
standard
icon

data-theme

Thème du bouton. La valeur par défaut est outline. Pour en savoir plus, consultez le tableau ci-dessous :

Le tableau suivant répertorie les thèmes disponibles et leur description :

Thème
outline
filled_blue
filled_black

Taille des données

Taille du bouton. La valeur par défaut est large. Pour en savoir plus, consultez le tableau ci-dessous :

Le tableau suivant répertorie les tailles de boutons disponibles et leur description.

Taille
large
medium
small

data-text

Texte du bouton. La valeur par défaut est signin_with. Il n'existe aucune différence visuelle pour le texte des boutons d'icône qui ont des attributs data-text différents. La seule exception concerne la lecture du texte pour l'accessibilité de l'écran.

Pour en savoir plus, consultez le tableau ci-dessous :

Le tableau suivant répertorie les textes de bouton disponibles et leurs descriptions :

Texte
signin_with
signup_with
continue_with
signin

data-shape

Forme du bouton. La valeur par défaut est rectangular. Pour en savoir plus, consultez le tableau ci-dessous :

Le tableau suivant répertorie les formes de boutons disponibles et leurs descriptions :

Forme
rectangular
pill
circle
square

data-logo_alignment

Alignement du logo Google. La valeur par défaut est left. Cet attribut ne s'applique qu'au type de bouton standard. Pour en savoir plus, consultez le tableau ci-dessous :

Le tableau suivant répertorie les alignements disponibles et leur description :

logo_alignment
left
center

data-width

Largeur minimale du bouton, en pixels. La largeur maximale disponible est de 400 pixels.

Pour en savoir plus, consultez le tableau ci-dessous :

data-locale

Facultatif. Affichez le texte du bouton à l'aide des paramètres régionaux spécifiés, sinon utilisez par défaut les paramètres du compte Google ou du navigateur de l'utilisateur. Ajoutez le paramètre hl et le code de langue à la directive src lors du chargement de la bibliothèque, par exemple : gsi/client?hl=<iso-639-code>.

Si elle n'est pas définie, les paramètres régionaux par défaut du navigateur ou la préférence de l'utilisateur de la session Google sont utilisés. Par conséquent, différents utilisateurs peuvent voir différentes versions de boutons localisés, et éventuellement avec des tailles différentes.

Pour en savoir plus, consultez le tableau ci-dessous :

data-click_listener

Vous pouvez définir une fonction JavaScript à appeler lorsque l'utilisateur clique sur le bouton "Se connecter avec Google" à l'aide de l'attribut data-click_listener.

  <script>
    function onClickHandler(){
      console.log("Sign in with Google button clicked...")
    }
  </script>
  .....
  <div class="g_id_signin"
      data-size="large"
      data-theme="outline"
      data-click_listener="onClickHandler">
  </div>

Dans cet exemple, le message Sign in with Google button clicked... (Bouton "Se connecter avec Google" cliqué...) est consigné dans la console lorsque l'utilisateur clique sur le bouton "Se connecter avec Google".

data-state

Facultatif : étant donné que plusieurs boutons "Se connecter avec Google" peuvent être affichés sur la même page, vous pouvez attribuer une chaîne unique à chaque bouton. La même chaîne est renvoyée avec le jeton d'identité. Vous pouvez ainsi identifier le bouton sur lequel l'utilisateur a cliqué pour se connecter.

Pour en savoir plus, consultez le tableau ci-dessous :

Intégration côté serveur

Vos points de terminaison côté serveur doivent gérer les requêtes HTTP POST suivantes.

Point de terminaison du gestionnaire de jetons d'identité

Le point de terminaison du gestionnaire de jetons d'identité traite le jeton d'identité. En fonction de l'état du compte correspondant, vous pouvez connecter l'utilisateur et le rediriger vers une page d'inscription ou vers une page d'association de compte pour obtenir des informations supplémentaires.

Exemple de requête envoyée à votre point de terminaison de connexion :

POST /login HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Cookie: g_csrf_token=<RANDOM_STRING>
Host: www.example.com

credential=<JWT_ENCODED_ID_TOKEN>&g_csrf_token=<RANDOM_STRING>

La requête HTTP POST contient les informations suivantes :

identifiant

Une fois décodé, le jeton d'identité ressemble à l'exemple suivant :

header
{
  "alg": "RS256",
  "kid": "f05415b13acb9590f70df862765c655f5a7a019e", // JWT signature
  "typ": "JWT"
}
payload
{
  "iss": "https://accounts.google.com", // The JWT's issuer
  "nbf":  161803398874,
  "aud": "314159265-pi.apps.googleusercontent.com", // Your server's client ID
  "sub": "3141592653589793238", // The unique ID of the user's Google Account
  "hd": "gmail.com", // If present, the host domain of the user's GSuite email address
  "email": "elisa.g.beckett@gmail.com", // The user's email address
  "email_verified": true, // true, if Google has verified the email address
  "azp": "314159265-pi.apps.googleusercontent.com",
  "name": "Elisa Beckett",
                            // If present, a URL to user's profile picture
  "picture": "https://lh3.googleusercontent.com/a-/e2718281828459045235360uler",
  "given_name": "Eliza",
  "family_name": "Beckett",
  "iat": 1596474000, // Unix timestamp of the assertion's creation time
  "exp": 1596477600, // Unix timestamp of the assertion's expiration time
  "jti": "abc161803398874def"
}

Le champ sub est un identifiant unique global pour le compte Google. Utilisez uniquement le champ sub comme identifiant de l'utilisateur, car il est unique parmi tous les comptes Google et n'est jamais réutilisé.

Les champs email, email_verified et hd vous permettent de déterminer si Google héberge une adresse e-mail et fait autorité pour celle-ci. Dans les cas où Google fait autorité, il est confirmé que l'utilisateur est le propriétaire légitime du compte.

Cas où Google fait autorité :

• Si l'adresse e-mail email se termine par @gmail.com, il s'agit d'un compte Gmail.
• Si email_verified est défini sur "true" et que hd est défini, il s'agit d'un compte Google Workspace.

Les utilisateurs peuvent s'inscrire à des comptes Google sans utiliser Gmail ni Google Workspace. Lorsque email ne contient pas de suffixe @gmail.com et que hd est absent, Google n'est pas une source faisant autorité. Il est recommandé d'utiliser un mot de passe ou d'autres méthodes de validation pour vérifier l'identité de l'utilisateur. email_verified peut également être défini sur "true", car Google a initialement validé l'utilisateur lors de la création du compte Google. Toutefois, la propriété du compte de messagerie tiers peut avoir changé depuis.

Le champ exp indique le délai dont vous disposez pour valider le jeton côté serveur. Il est d'une heure pour le jeton d'ID obtenu à partir de Se connecter avec Google. Vous devez valider le jeton avant son expiration. N'utilisez pas exp pour la gestion des sessions. Un jeton d'identité expiré ne signifie pas que l'utilisateur est déconnecté. Votre application est responsable de la gestion des sessions de vos utilisateurs.

g_csrf_token

Jeton d'état anti-falsification. Il s'agit d'un jeton CSRF (Cross-site request forgery, falsification de requête intersite) créé par la bibliothèque gsi/client. Une valeur aléatoire est incluse à la fois en tant que cookie et en tant que paramètre de requête dans le corps de la charge utile POST. Si ces deux valeurs ne correspondent pas lors du traitement de la requête sur votre serveur, la requête doit être considérée comme non valide.

select_by

Le tableau suivant répertorie les valeurs possibles pour le champ select_by. Le type de bouton utilisé, ainsi que l'état de la session et du consentement, permettent de définir la valeur.

• L'utilisateur a appuyé sur le bouton One Tap ou Se connecter avec Google, ou a utilisé le processus de connexion automatique sans contact.

• Une session existante a été trouvée ou l'utilisateur a sélectionné un compte Google et s'y est connecté pour établir une nouvelle session.

• Avant de partager les identifiants du jeton d'identité avec votre application, l'utilisateur doit

  • a appuyé sur le bouton "Confirmer" pour autoriser le partage des identifiants ; ou
  • avait déjà donné son consentement et utilisé "Sélectionner un compte" pour choisir un compte Google.

La valeur de ce champ est définie sur l'un de ces types.

state

Ce paramètre n'est défini que lorsque l'utilisateur clique sur un bouton "Se connecter avec Google" pour se connecter et que l'attribut data-state du bouton sur lequel il a cliqué est spécifié. La valeur de ce champ est identique à celle que vous avez spécifiée dans l'attribut data-state du bouton.

Étant donné que plusieurs boutons "Se connecter avec Google" peuvent être affichés sur la même page, vous pouvez attribuer une chaîne unique à chacun d'eux. Vous pouvez donc utiliser ce paramètre state pour identifier le bouton sur lequel l'utilisateur a cliqué pour se connecter.

Point de terminaison du gestionnaire d'identifiants de mot de passe

Le point de terminaison du gestionnaire d'identifiants de mot de passe traite les identifiants de mot de passe récupérés par le gestionnaire d'identifiants intégré.

La requête HTTP POST contient les informations suivantes :