אפליקציות אינטרנט חייבות לקבל אסימון גישה כדי לקרוא ל-Google APIs באופן מאובטח.
ספריית ה-JavaScript של Google Identity Services תומכת גם באימות של כניסת משתמשים וגם בהרשאה לקבלת אסימון גישה לשימוש עם ממשקי Google API. הספרייה מיועדת לשימוש בדפדפנים בלבד.
האימות מאפשר לדעת מיהו המשתמש, ולרוב הוא נקרא 'הרשמה' או 'כניסה'. הרשאה היא התהליך של אישור או דחייה של גישה לנתונים או למשאבים. התהליך כולל קבלה וניהול של הסכמת משתמשים, הגבלת כמות הנתונים והמשאבים שמשותפים עם היקפים ואחזור אסימון גישה לשימוש עם Google APIs.
המדריכים האלה עוסקים בנושאים של הרשאות ושיתוף נתונים.
במאמר איך פועלת הרשאת המשתמש מפורטים השלבים הנפרדים של הרשאת המשתמש, כולל דוגמאות לתיבות דו-שיח של משתמשים.
במאמר Sign In with Google מוסבר איך מטמיעים הרשמה וכניסה של משתמשים במאמר בנושא אימות.
הספרייה הזו לא מיועדת לשימוש במסגרות JavaScript בצד השרת, כמו Node.js, במקום זאת באמצעות ספריית הלקוח Node.js של Google.
מה השתנה?
למשתמשים, הספרייה Google Identity Services מציעה שיפורים רבים בנוחות השימוש לעומת ספריות JavaScript קודמות, כולל:
- עם אימות לצורך כניסה של משתמשים והרשאה לקבלת אסימון גישה לביצוע קריאה ל-Google APIs, יש עכשיו שני תהליכי עבודה נפרדים למשתמשים – אחד עבור כניסה ואחד עבור הסכמה במהלך ההרשאה, עם תהליכי משתמש נפרדים כדי להבדיל בבירור ביניכם לבין מה שאפליקציה יכולה לעשות.
- הרשאות גישה משופרות ואמצעי בקרה מפורטים על שיתוף הנתונים במהלך הסכמת המשתמשים.
- תיבות דו-שיח קופצות מבוססות-דפדפן שנועדו לצמצם את הקשיים, והן לא מחייבות את המשתמשים לצאת מהאתר כדי:
- לקבל אסימון גישה מ-Google, או
- שולחים קוד הרשאה לפלטפורמה של הקצה העורפי.
עבור המפתחים, ההתמקדות שלנו הייתה בהפחתת המורכבות, בשיפור האבטחה ובהפיכת השילוב למהיר וקל ככל האפשר. חלק מהשינויים האלה הם:
- האימות של המשתמשים לצורך כניסה, וההרשאה לקבלת אסימון גישה לקריאה ל-Google APIs הן שתי קבוצות נפרדות ונפרדות של שיטות ואובייקטים של JavaScript. כך תפחיתו את המורכבות ואת כמות הפרטים הנדרשים כדי להטמיע אימות או הרשאות.
- בספריית JavaScript אחת יש עכשיו תמיכה בשני הרכיבים הבאים:
- זרם הענקת גישה משתמע ב-OAuth 2.0, המשמש לקבלת אסימון גישה לשימוש בדפדפן
- תהליך של קוד הרשאה ל-OAuth 2.0, שנקרא גם 'גישה אופליין', שמפעיל באופן מאובטח קוד הרשאה לפלטפורמה בקצה העורפי שלכם, שבו אפשר להחליף אותו באסימון גישה ולרענן אסימון. בעבר תהליכי העבודה האלה היו זמינים רק באמצעות מספר ספריות, ורק באמצעות קריאות ישירות לנקודות קצה של OAuth 2.0. ספרייה אחת מפחיתה את הזמן והמאמצים לאינטגרציה, במקום לכלול וללמוד מספר ספריות ומושגים של OAuth 2.0, כך שתוכלו להתמקד בממשק יחיד ומאוחד.
- עקיפה דרך פונקציות בסגנון getter הוסרה מטעמי פשטות וקריאות.
- בזמן הטיפול בתגובות להרשאות, עליכם לבחור אם להשתמש בהבטחה למילוי בקשות, במקום שההחלטה תתקבל במקומכם.
- השינויים הבאים עודכנו בספריית הלקוח של Google API ל-JavaScript:
- המודול
gapi.auth2
והאובייקטים והשיטות המשויכים אליו כבר לא נטענים באופן אוטומטי מאחורי הקלעים. הם הוחלפו באובייקטים ושיטות מפורשים יותר של ספריית Google Identity Services. - הסרנו רענון אוטומטי של אסימוני גישה שפג תוקפם כדי לשפר את האבטחה והמודעות של המשתמשים. אחרי שהתוקף של אסימון הגישה יפוג, האפליקציה תצטרך לטפל בתגובות שגיאה של Google API, לבקש אסימון גישה תקין ולקבל אסימון גישה חדש.
- כדי לתמוך בהפרדה ברורה בין רגעי האימות וההרשאות, אין יותר תמיכה בכניסה של המשתמשים לאפליקציה ולחשבון Google שלהם בו-זמנית, תוך הנפקת אסימון גישה. בעבר, הבקשה לאסימון גישה הכניסה את המשתמשים לחשבון Google שלהם והחזירה את פרטי הכניסה של אסימון מזהה ה-JWT לצורך אימות המשתמשים.
- המודול
- כדי להגביר את האבטחה והפרטיות של המשתמשים, פרטי הכניסה שהונפקו לצורך ההרשאה מבוססים על העיקרון של הרשאות מינימליות, כולל רק אסימון גישה ומידע שנדרש כדי לנהל אותם.