使用已保存的凭据让用户登录

使用一键登录客户端向用户请求权限,以检索他们之前用于登录应用的某个凭据。这些凭据可以是 Google 帐号,也可以是用户使用 Chrome、Android 自动填充功能或 Smart Lock(密码专用)保存到 Google 中的用户名/密码组合。

一键式登录界面

成功检索到凭据后,您就可以使用它顺畅地将用户登录到您的应用。

如果用户尚未保存任何凭据,则系统不会显示任何界面,您可以提供正常的退出登录体验。

我应该在哪里使用一键登录?

如果您的应用要求用户登录,请在登录屏幕上显示一键式界面。即使您已有“使用 Google 帐号登录”按钮,该功能也非常有用:由于一键式界面可配置为仅显示用户以前用于登录的凭据,因此它可以提醒用户上次不常登录的方式,并防止他们意外使用您的应用创建新帐号。

如果登录对您的应用来说是可选的,不妨考虑在任何具有一键登录体验的屏幕上使用一键登录功能。例如,如果用户退出登录后可以使用您的应用浏览内容,但只能在登录之后发布评论或将商品添加到购物车,那么这就是一键登录的合理情形。

登录可选应用也应在登录屏幕上使用一键登录功能,出于上述原因。

准备工作

1. 配置一键式登录客户端

您可以配置一键登录客户端,以便用户使用已保存的密码和/或已保存的 Google 帐号登录。(建议同时支持二者,以便为新用户启用一键式帐号创建操作,以及为尽可能多的回访用户启用自动或一键式登录功能。)

如果您的应用使用基于密码的登录,请使用 setPasswordRequestOptions() 启用密码凭据请求。

如果您的应用使用 Google 登录,请使用 setGoogleIdTokenRequestOptions() 启用和配置 Google ID 令牌请求:

  • 将服务器客户端 ID 设置为您在 Google API 控制台中创建的 ID。请注意,这是您的服务器客户端 ID,而不是 Android 客户端 ID。

  • 将客户端配置为按已获授权的帐号过滤。启用此选项后,一键式客户端只会提示用户使用他们过去使用过的 Google 帐号登录您的应用。这样做可让用户在确定自己是否已经拥有一个帐号或使用哪个 Google 帐号时成功登录,并防止用户意外使用您的应用创建新帐号。

  • 如果您希望尽可能让用户自动登录,请使用 setAutoSelectEnabled() 启用该功能。如果满足以下条件,则可以自动登录:

    • 用户为您的应用保存了一个凭据。也就是说,保存一个密码或保存一个 Google 帐号。
    • 用户尚未在其 Google 帐号设置中停用自动登录功能。
  • 虽然这是一项可选功能,但我们强烈建议您使用 Nonce 来提高登录安全性并避免重放攻击。使用 setNonce 在每个请求中包含 Nonce。如需了解有关生成 Nonce 的建议和其他详细信息,请参阅 SafetyNet 的获取 Nonce 部分。

Java

public class YourActivity extends AppCompatActivity {
  // ...

  private SignInClient oneTapClient;
  private BeginSignInRequest signInRequest;

  @Override
  public void onCreate(@Nullable Bundle savedInstanceState,
                       @Nullable PersistableBundle persistentState) {
      super.onCreate(savedInstanceState, persistentState);

      oneTapClient = Identity.getSignInClient(this);
      signInRequest = BeginSignInRequest.builder()
              .setPasswordRequestOptions(PasswordRequestOptions.builder()
                      .setSupported(true)
                      .build())
              .setGoogleIdTokenRequestOptions(GoogleIdTokenRequestOptions.builder()
                      .setSupported(true)
                      // Your server's client ID, not your Android client ID.
                      .setServerClientId(getString(R.string.default_web_client_id))
                      // Only show accounts previously used to sign in.
                      .setFilterByAuthorizedAccounts(true)
                      .build())
              // Automatically sign in when exactly one credential is retrieved.
              .setAutoSelectEnabled(true)
              .build();
      // ...
  }
  // ...
}

Kotlin

class YourActivity : AppCompatActivity() {
    // ...

    private lateinit var oneTapClient: SignInClient
    private lateinit var signInRequest: BeginSignInRequest

    override fun onCreate(savedInstanceState: Bundle?) {
        super.onCreate(savedInstanceState)
        setContentView(R.layout.activity_main)

        oneTapClient = Identity.getSignInClient(this)
        signInRequest = BeginSignInRequest.builder()
            .setPasswordRequestOptions(BeginSignInRequest.PasswordRequestOptions.builder()
                .setSupported(true)
                .build())
            .setGoogleIdTokenRequestOptions(
                BeginSignInRequest.GoogleIdTokenRequestOptions.builder()
                    .setSupported(true)
                    // Your server's client ID, not your Android client ID.
                    .setServerClientId(getString(R.string.your_web_client_id))
                    // Only show accounts previously used to sign in.
                    .setFilterByAuthorizedAccounts(true)
                    .build())
            // Automatically sign in when exactly one credential is retrieved.
            .setAutoSelectEnabled(true)
            .build()
        // ...
    }
    // ...
}

2. 检查已登录的用户

如果已登录的用户或退出的用户可以使用您的 Activity,请在显示“一键登录”界面之前检查用户的状态。

您还应通过关闭提示或点按提示以外的方式来提示用户是否已拒绝使用一键登录。这可以很简单,就像您的 Activity 的布尔值属性一样。(请参阅下文中的停止显示“一键恢复”界面)。

3. 显示一键登录界面

如果用户尚未登录且尚未拒绝使用“一键登录”功能,请调用客户端对象的 beginSignIn() 方法,并将监听器附加到其返回的 Task 中。应用通常在 Activity 的 onCreate() 方法中或在使用单 Activity 架构时屏幕转换后执行此操作。

如果用户为您的应用保存了任何凭据,One Tap 客户端将调用成功监听器。在成功监听器中,从 Task 结果中获取待处理 intent 并将其传递给 startIntentSenderForResult(),以启动一键登录界面。

如果用户没有任何已保存的凭据,一键式客户端将调用失败监听器。在这种情况下,您无需执行任何操作:只需继续呈现应用的退出登录体验即可。不过,如果您支持一键注册,则可以从此流程开始,从而获得无缝的帐号创建体验。请参阅一键创建新帐号

Java

oneTapClient.beginSignIn(signUpRequest)
        .addOnSuccessListener(this, new OnSuccessListener<BeginSignInResult>() {
            @Override
            public void onSuccess(BeginSignInResult result) {
                try {
                    startIntentSenderForResult(
                            result.getPendingIntent().getIntentSender(), REQ_ONE_TAP,
                            null, 0, 0, 0);
                } catch (IntentSender.SendIntentException e) {
                    Log.e(TAG, "Couldn't start One Tap UI: " + e.getLocalizedMessage());
                }
            }
        })
        .addOnFailureListener(this, new OnFailureListener() {
            @Override
            public void onFailure(@NonNull Exception e) {
                // No saved credentials found. Launch the One Tap sign-up flow, or
                // do nothing and continue presenting the signed-out UI.
                Log.d(TAG, e.getLocalizedMessage());
            }
        });

Kotlin

oneTapClient.beginSignIn(signInRequest)
    .addOnSuccessListener(this) { result ->
        try {
            startIntentSenderForResult(
                result.pendingIntent.intentSender, REQ_ONE_TAP,
                null, 0, 0, 0, null)
        } catch (e: IntentSender.SendIntentException) {
            Log.e(TAG, "Couldn't start One Tap UI: ${e.localizedMessage}")
        }
    }
    .addOnFailureListener(this) { e ->
        // No saved credentials found. Launch the One Tap sign-up flow, or
        // do nothing and continue presenting the signed-out UI.
        Log.d(TAG, e.localizedMessage)
    }

4. 处理用户响应

系统会使用您的 Activity 的 onActivityResult() 方法将用户对一键登录提示的响应报告给您的应用。如果用户选择登录,结果将是已保存的凭据。如果用户拒绝登录(通过关闭一键式界面或在界面外点按),结果会返回代码 RESULT_CANCELED。您的应用需要处理这两种可能性。

使用检索到的凭据登录

如果用户选择与您的应用共享凭据,您可以通过将 intent 数据从 onActivityResult() 传递给一键式客户端的 getSignInCredentialFromIntent() 方法来检索凭据。如果用户与您的应用共享了 Google 帐号凭据,则该凭据将具有非 null googleIdToken 属性;如果用户共享已保存的密码,则该凭据将具有非 null password 属性。

使用该凭据通过应用的后端进行身份验证。

  • 如果检索了用户名和密码对,请使用密码登录方式,与用户手动提供的方式相同。
  • 如果检索了 Google 帐号凭据,请使用 ID 令牌向后端进行身份验证。如果您已选择使用 Nonce 来帮助避免重放攻击,请检查后端服务器上的响应值。请参阅使用 ID 令牌通过后端进行身份验证

Java

public class YourActivity extends AppCompatActivity {

  // ...
  private static final int REQ_ONE_TAP = 2;  // Can be any integer unique to the Activity.
  private boolean showOneTapUI = true;
  // ...

  @Override
  protected void onActivityResult(int requestCode, int resultCode, @Nullable Intent data) {
      super.onActivityResult(requestCode, resultCode, data);

      switch (requestCode) {
          case REQ_ONE_TAP:
              try {
                  SignInCredential credential = oneTapClient.getSignInCredentialFromIntent(data);
                  String idToken = credential.getGoogleIdToken();
                  String username = credential.getId();
                  String password = credential.getPassword();
                  if (idToken !=  null) {
                      // Got an ID token from Google. Use it to authenticate
                      // with your backend.
                      Log.d(TAG, "Got ID token.");
                  } else if (password != null) {
                      // Got a saved username and password. Use them to authenticate
                      // with your backend.
                      Log.d(TAG, "Got password.");
                  }
              } catch (ApiException e) {
                  // ...
              }
              break;
      }
  }
}

Kotlin

class YourActivity : AppCompatActivity() {

    // ...
    private val REQ_ONE_TAP = 2  // Can be any integer unique to the Activity
    private var showOneTapUI = true
    // ...

    override fun onActivityResult(requestCode: Int, resultCode: Int, data: Intent?) {
        super.onActivityResult(requestCode, resultCode, data)

        when (requestCode) {
             REQ_ONE_TAP -> {
                try {
                    val credential = oneTapClient.getSignInCredentialFromIntent(data)
                    val idToken = credential.googleIdToken
                    val username = credential.id
                    val password = credential.password
                    when {
                        idToken != null -> {
                            // Got an ID token from Google. Use it to authenticate
                            // with your backend.
                            Log.d(TAG, "Got ID token.")
                        }
                        password != null -> {
                            // Got a saved username and password. Use them to authenticate
                            // with your backend.
                            Log.d(TAG, "Got password.")
                        }
                        else -> {
                            // Shouldn't happen.
                            Log.d(TAG, "No ID token or password!")
                        }
                    }
                } catch (e: ApiException) {
                    // ...
                }
            }
        }
    }
    // ...
}

停止显示一键式界面

如果用户拒绝登录,对 getSignInCredentialFromIntent() 的调用将抛出带有 CommonStatusCodes.CANCELED 状态代码的 ApiException。发生这种情况时,您应暂时停用一键登录界面,以免重复提示用户。以下示例通过在 Activity 上设置了一个属性来完成此操作,它用于决定是否向用户提供一键登录功能;不过,您也可以将某个值保存到 SharedPreferences 或使用其他方法。

实现您自己的对一键登录提示的速率限制十分重要。否则,如果用户连续取消多条提示,那么一键式客户端在接下来的 24 小时内不会提示用户。

Java

public class YourActivity extends AppCompatActivity {

  // ...
  private static final int REQ_ONE_TAP = 2;  // Can be any integer unique to the Activity.
  private boolean showOneTapUI = true;
  // ...

  @Override
  protected void onActivityResult(int requestCode, int resultCode, @Nullable Intent data) {
      super.onActivityResult(requestCode, resultCode, data);

      switch (requestCode) {
          case REQ_ONE_TAP:
              try {
                  // ...
              } catch (ApiException e) {
                  switch (e.getStatusCode()) {
                      case CommonStatusCodes.CANCELED:
                          Log.d(TAG, "One-tap dialog was closed.");
                          // Don't re-prompt the user.
                          showOneTapUI = false;
                          break;
                      case CommonStatusCodes.NETWORK_ERROR:
                          Log.d(TAG, "One-tap encountered a network error.");
                          // Try again or just ignore.
                          break;
                      default:
                          Log.d(TAG, "Couldn't get credential from result."
                                  + e.getLocalizedMessage());
                          break;
                  }
              }
              break;
      }
  }
}

Kotlin

class YourActivity : AppCompatActivity() {

    // ...
    private val REQ_ONE_TAP = 2  // Can be any integer unique to the Activity
    private var showOneTapUI = true
    // ...

    override fun onActivityResult(requestCode: Int, resultCode: Int, data: Intent?) {
        super.onActivityResult(requestCode, resultCode, data)

        when (requestCode) {
            REQ_ONE_TAP -> {
                try {
                    // ...
                } catch (e: ApiException) {
                    when (e.statusCode) {
                        CommonStatusCodes.CANCELED -> {
                            Log.d(TAG, "One-tap dialog was closed.")
                            // Don't re-prompt the user.
                            showOneTapUI = false
                        }
                        CommonStatusCodes.NETWORK_ERROR -> {
                            Log.d(TAG, "One-tap encountered a network error.")
                            // Try again or just ignore.
                        }
                        else -> {
                            Log.d(TAG, "Couldn't get credential from result." +
                                " (${e.localizedMessage})")
                        }
                    }
                }
            }
        }
    }
    // ...
}

5. 处理退出

当用户退出您的应用时,调用一键式客户端的 signOut() 方法。调用 signOut() 会停用自动登录功能,直到用户重新登录为止。

即使您不使用自动登录,此步骤也很重要,因为它可以确保用户退出应用时,您使用的所有 Play 服务 API 的身份验证状态也会重置。

后续步骤

如果您已将一键式客户端配置为检索 Google 凭据,您的应用现在可以获取代表用户的 Google ID 令牌和 Google 帐号。了解如何在后端使用这些令牌

如果支持 Google 登录,您还可以使用一键式客户端向应用顺畅地添加帐号创建流程