Für das Web autorisieren

Webanwendungen müssen ein Zugriffstoken abrufen, um Google APIs sicher aufzurufen.

Die JavaScript-Bibliothek von Google Identity Services unterstützt sowohl die Authentifizierung für die Nutzeranmeldung als auch die Autorisierung zum Abrufen eines Zugriffstokens für die Verwendung mit Google APIs. Die Bibliothek ist nur für die Verwendung in Browsern vorgesehen.

Durch die Authentifizierung wird festgelegt, wer jemand ist. Diese Authentifizierung wird im Allgemeinen als Nutzerregistrierung oder -anmeldung bezeichnet. Bei der Autorisierung wird der Zugriff auf Daten oder Ressourcen gewährt oder abgelehnt. Sie müssen die Nutzereinwilligung einholen und verwalten, die mit den Bereichen geteilte Datenmenge oder Ressourcen begrenzen und ein Zugriffstoken für die Verwendung mit Google APIs abrufen.

In diesen Leitfäden geht es um Autorisierung und Datenfreigabe.

Unter Funktionsweise der Nutzerautorisierung werden die einzelnen Schritte der Nutzerautorisierung und Beispiele für Nutzerdialoge beschrieben.

Informationen zur Authentifizierung und zur Implementierung der Nutzerregistrierung und -anmeldung findest du unter Über Google anmelden.

Diese Bibliothek ist nicht für die Verwendung mit serverseitigen JavaScript-Frameworks wie Node.js vorgesehen. Verwenden Sie stattdessen die Node.js-Clientbibliothek von Google.

Was ändert sich?

Für Nutzer bietet die Google Identity Services-Bibliothek zahlreiche Verbesserungen der Nutzerfreundlichkeit gegenüber früheren JavaScript-Bibliotheken, darunter:

  • Für die Authentifizierung bei der Nutzeranmeldung und die Autorisierung zum Abrufen eines Zugriffstokens zum Aufrufen von Google APIs gibt es jetzt zwei separate und unterschiedliche Nutzerflüsse: einen für die Anmeldung und einen weiteren für die Einwilligung während der Autorisierung. Dabei werden die Abläufe für die Nutzer klar voneinander unterschieden, was für eine Anwendung möglich ist.
  • Verbesserte Sichtbarkeit und detaillierte Kontrolle über die Datenfreigabe bei Nutzereinwilligung
  • Browserbasierte Pop-up-Dialogfelder reduzieren Reibungsverluste und erfordern, dass Nutzer Ihre Website nicht verlassen müssen, um:
    • ein Zugriffstoken von Google zu erhalten oder
    • einen Autorisierungscode an Ihre Back-End-Plattform senden.

Für Entwickler haben wir uns darauf konzentriert, die Komplexität zu reduzieren, die Sicherheit zu verbessern und die Integration so schnell und einfach wie möglich zu gestalten. Hier einige der Änderungen:

  • Die Nutzerauthentifizierung für die Anmeldung und Autorisierung, die zum Abrufen eines Zugriffstokens zum Aufrufen von Google APIs verwendet werden, sind zwei separate und separate JavaScript-Objekte und -Methoden. Dadurch werden die Komplexität und die Menge an Details reduziert, die zum Implementieren der Authentifizierung oder Autorisierung erforderlich sind.
  • Eine einzelne JavaScript-Bibliothek unterstützt jetzt Folgendes:
    • Implizierter OAuth 2.0-Vorgang zum Abrufen eines Zugriffstokens für die Verwendung im Browser
    • Der OAuth 2.0-Vorgang mit Autorisierungscode, auch Offlinezugriff genannt, initiiert die sichere Übermittlung eines Autorisierungscodes an Ihre Back-End-Plattform, wo er gegen ein Zugriffstoken und ein Aktualisierungstoken eingetauscht werden kann. Bisher waren diese Abläufe nur über die Verwendung mehrerer Bibliotheken und durch direkte Aufrufe an OAuth 2.0-Endpunkte verfügbar. Dank einer einzigen Bibliothek sparen Sie Zeit und Aufwand, anstatt mehrere Bibliotheken und OAuth 2.0-Konzepte zu verwenden und zu erlernen. So können Sie sich auf eine einzige, einheitliche Benutzeroberfläche konzentrieren.
  • Die Umleitung durch Getter-Stilfunktionen wurde aus Gründen der Einfachheit und Lesbarkeit entfernt.
  • Bei der Verarbeitung von Autorisierungsantworten wählen Sie aus, ob ein Promise zur Ausführung von Anfragen verwendet werden soll.
  • Die Google API-Clientbibliothek für JavaScript wurde mit den folgenden Änderungen aktualisiert:
    • Das Modul gapi.auth2 und die zugehörigen Objekte und Methoden werden im Hintergrund nicht mehr automatisch für Sie geladen und durch komplexere Bibliotheksobjekte und -methoden von Google Identity Services ersetzt.
    • Die automatische Aktualisierung abgelaufener Zugriffstokens wurde entfernt, um die Sicherheit und Bekanntheit der Nutzer zu erhöhen. Nach Ablauf eines Zugriffstokens muss Ihre Anwendung Google API-Fehlerantworten verarbeiten, ein neues gültiges Zugriffstoken anfordern und abrufen.
    • Für eine eindeutige Trennung von Authentifizierungs- und Autorisierungsereignissen wird die gleichzeitige Anmeldung eines Nutzers bei Ihrer App und seinem Google-Konto bei gleichzeitiger Ausgabe eines Zugriffstokens nicht mehr unterstützt. Bisher wurden Nutzer durch das Anfordern eines Zugriffstokens auch in ihrem Google-Konto angemeldet und für die Nutzerauthentifizierung die Anmeldedaten eines JWT-ID-Tokens zurückgegeben.
  • Um die Sicherheit und den Datenschutz der Nutzer zu erhöhen, sollten für die Autorisierung pro Nutzer nach dem Prinzip der geringsten Berechtigung nur ein Zugriffstoken und Informationen zur Verwaltung eingegeben werden.