Für das Web autorisieren

Webanwendungen müssen ein Zugriffstoken abrufen, um Google APIs sicher aufzurufen.

Die JavaScript-Bibliothek von Google Identity Services unterstützt sowohl die Authentifizierung für die Nutzeranmeldung als auch die Autorisierung zum Abrufen eines Zugriffstokens zur Verwendung mit Google APIs. Die Bibliothek ist nur für die Verwendung in Browsern vorgesehen.

Die Authentifizierung bestimmt, wer eine Person ist. Sie wird allgemein als Nutzerregistrierung oder -anmeldung bezeichnet. Autorisierung ist der Vorgang, bei dem der Zugriff auf Daten oder Ressourcen gewährt oder verweigert wird. Dazu gehört das Einholen und Verwalten der Nutzereinwilligung, das Beschränken der für Bereiche freigegebenen Datenmenge und das Abrufen eines Zugriffstokens zur Verwendung mit Google APIs.

In diesen Leitfäden werden Autorisierung und Datenfreigabe behandelt.

Unter Funktionsweise der Nutzerautorisierung werden die einzelnen Schritte der Nutzerautorisierung im Detail beschrieben und Beispiele für Nutzerdialoge enthalten.

Informationen zur Authentifizierung und zum Implementieren der Nutzerregistrierung und -anmeldung finden Sie unter Über Google anmelden.

Diese Bibliothek ist nicht für die Verwendung mit serverseitigen JavaScript-Frameworks wie Node.js vorgesehen. Sie nutzen stattdessen die Node.js von Google.

Was sich geändert hat

Im Vergleich zu früheren JavaScript-Bibliotheken bietet die Google Identity Services-Bibliothek zahlreiche Verbesserungen der Nutzerfreundlichkeit. Dazu gehören:

  • Bei der Authentifizierung für die Nutzeranmeldung und der Autorisierung zum Abrufen eines Zugriffstokens zum Aufrufen von Google APIs gibt es jetzt zwei separate, unterschiedliche Nutzerabläufe: einen für die Anmeldung und einen für die Einwilligung während der Autorisierung. Dabei gibt es zwei separate Abläufe, mit denen sich klar voneinander unterscheiden lässt, wer Sie sind und was eine App tun kann.
  • Verbesserte Transparenz und genauere Kontrolle über die Datenfreigabe während der Nutzereinwilligung.
  • Browserbasierte Pop-up-Dialogfelder, die reibungslose Abläufe bieten, und bei denen Nutzer Ihre Website nicht verlassen müssen, um:
    • Ein Zugriffstoken von Google anfordern oder
    • einen Autorisierungscode an Ihre Back-End-Plattform senden.

Für Entwickler haben wir uns darauf konzentriert, die Komplexität zu verringern, die Sicherheit zu verbessern und die Integration so schnell und einfach wie möglich zu gestalten. Hier einige der Änderungen:

  • Die Nutzerauthentifizierung für die Anmeldung und die Autorisierung zum Abrufen eines Zugriffstokens für den Aufruf von Google APIs sind zwei separate Gruppen von JavaScript-Objekten und -Methoden. Dies reduziert die Komplexität und den Detaillierungsgrad, die für die Implementierung der Authentifizierung oder Autorisierung erforderlich sind.
  • Eine einzige JavaScript-Bibliothek unterstützt jetzt Folgendes:
    • Impliziter OAuth 2.0-Vorgang zum Abrufen eines Zugriffstokens für die Verwendung im Browser
    • OAuth 2.0-Vorgang mit Autorisierungscode, auch Offlinezugriff genannt, mit dem auf sichere Weise ein Autorisierungscode an Ihre Back-End-Plattform gesendet wird, wo er gegen ein Zugriffstoken und ein Aktualisierungstoken ausgetauscht werden kann. Bisher waren diese Abläufe nur über mehrere Bibliotheken und direkte Aufrufe an OAuth 2.0-Endpunkte verfügbar. Eine einzelne Bibliothek reduziert den Zeit- und Arbeitsaufwand für die Integration, anstatt mehrere Bibliotheken und OAuth 2.0-Konzepte einzubeziehen und zu erlernen, und Sie sich auf eine einzige, einheitliche Benutzeroberfläche konzentrieren können.
  • Die Umleitung durch Getter-Stilfunktionen wurde der Einfachheit halber und der besseren Lesbarkeit entfernt.
  • Bei der Verarbeitung von Autorisierungsantworten wählen Sie aus, ob ein Promise zum Verarbeiten von Anfragen verwendet werden soll oder nicht. Diese Entscheidung wird nicht für Sie getroffen.
  • Die Google API-Clientbibliothek für JavaScript wurde mit den folgenden Änderungen aktualisiert:
    • Das Modul gapi.auth2 sowie die zugehörigen Objekte und Methoden werden im Hintergrund nicht mehr automatisch geladen. Sie wurden durch explizitere Objekte und Methoden der Google Identity Services-Bibliothek ersetzt.
    • Abgelaufene Zugriffstokens wurden nicht mehr automatisch aktualisiert, um die Sicherheit und das Bewusstsein für Nutzer zu erhöhen. Nach Ablauf eines Zugriffstokens muss Ihre Anwendung Google API-Fehlerantworten verarbeiten, ein neues, gültiges Zugriffstoken anfordern und abrufen.
    • Zur klaren Trennung von Authentifizierungs- und Autorisierungsmomenten wird die gleichzeitige Anmeldung eines Nutzers bei Ihrer Anwendung und seinem Google-Konto mit der Ausgabe eines Zugriffstokens nicht mehr unterstützt. Bisher wurden Nutzer beim Anfordern eines Zugriffstokens auch in ihrem Google-Konto angemeldet und die Anmeldedaten eines JWT-ID-Tokens wurden zur Nutzerauthentifizierung zurückgegeben.
  • Um die Sicherheit und den Datenschutz der Nutzer zu erhöhen, folgen die Anmeldedaten eines Nutzers, die zur Autorisierung ausgestellt werden, dem Prinzip der geringsten Berechtigung. Dabei werden nur ein Zugriffstoken und die Informationen angegeben, die für dessen Verwaltung erforderlich sind.