लिंक किए गए खाते से साइन इन करने की सुविधा, उन उपयोगकर्ताओं के लिए Google से एक टैप में साइन इन की सुविधा चालू करती है जिनका Google खाता पहले से ही आपकी सेवा से लिंक है. इससे उपयोगकर्ताओं को एक ही बार में साइन इन करने का बेहतरीन अनुभव मिलेगा. इसके लिए, उन्हें दोबारा लॉगिन करने की ज़रूरत नहीं पड़ेगी उपयोगकर्ता नाम और पासवर्ड डालें. इससे उपयोगकर्ताओं के, पर डुप्लीकेट खाते लिंक हैं.
लिंक किए गए खाते से साइन-इन करने की सुविधा, इन खातों के लिए एक टैप में साइन इन करने के फ़्लो के हिस्से के तौर पर उपलब्ध है: Android. इसका मतलब है कि अगर आपका ऐप्लिकेशन पहले से ही One Tap की सुविधा चालू है.
इस दस्तावेज़ में, आपको जानकारी मिलेगी कि सहायता करने के लिए अपने Android ऐप्लिकेशन में बदलाव कैसे करें लिंक किए गए खाते से साइन इन करना.
यह कैसे काम करता है
- आपने एक टैप में साइन इन फ़्लो के दौरान, लिंक किए गए खातों को दिखाने के लिए ऑप्ट इन किया है.
- अगर उपयोगकर्ता ने Google में साइन इन किया है और अपने Google खाते को आपके खाते को लिंक करने के लिए, आपको लिंक किए गए खाते के लिए एक आईडी टोकन जोड़ें.
- उपयोगकर्ता को One Tap की मदद से साइन-इन करने का अनुरोध दिखाया जाता है. इसमें उसे साइन इन करने का विकल्प भी दिया जाता है: लिंक किए गए खाते से नहीं जोड़ा जा सकता.
- अगर उपयोगकर्ता, लिंक किए गए खाते का इस्तेमाल जारी रखता है, तो उपयोगकर्ता का आईडी टोकन आपके ऐप्लिकेशन पर वापस लौटा दिया जाता है. आप इसका मिलान आपके दूसरे चरण में सर्वर का इस्तेमाल किया जा सकता है.
सेटअप
अपना डेवलपमेंट एनवायरमेंट सेट अप करें
अपने डेवलपमेंट होस्ट पर नई Google Play सेवाएं पाएं:
- खोलें Android SDK मैनेजर.
SDK टूल में जाकर, Google Play services ढूंढें.
अगर इन पैकेज का स्टेटस 'इंस्टॉल किया गया' नहीं है, तो दोनों पैकेज चुनें और पैकेज इंस्टॉल करें पर क्लिक करें.
अपना ऐप्लिकेशन कॉन्फ़िगर करें
प्रोजेक्ट-लेवल की
build.gradleफ़ाइल में, Google की Maven रिपॉज़िटरी शामिल करें आपकेbuildscriptऔरallprojects, दोनों सेक्शन में.buildscript { repositories { google() } } allprojects { repositories { google() } }"Google से लिंक करें" के लिए डिपेंडेंसी जोड़ें एपीआई को आपके मॉड्यूल के ऐप्लिकेशन-लेवल की Gradle फ़ाइल, जो आम तौर पर
app/build.gradleहोती है:dependencies { implementation 'com.google.android.gms:play-services-auth:21.2.0' }
लिंक किए गए खाते में साइन इन करने की सुविधा के लिए, अपने Android ऐप्लिकेशन में बदलाव करना
लिंक किए गए खाते के साइन इन फ़्लो के खत्म होने पर, एक आईडी टोकन आपके है. उपयोगकर्ता साइन इन करने से पहले, आईडी टोकन के रखरखाव की पुष्टि की जानी चाहिए.
नीचे दिए गए कोड सैंपल में, डेटा वापस पाने के चरणों के बारे में बताया गया है, आईडी टोकन की पुष्टि करें और इसके बाद उपयोगकर्ता को साइन इन करने देता है.
साइन-इन इंटेंट का नतीजा पाने के लिए गतिविधि बनाएं
Kotlin
private val activityResultLauncher = registerForActivityResult( ActivityResultContracts.StartIntentSenderForResult()) { result -> if (result.resultCode == RESULT_OK) { try { val signInCredentials = Identity.signInClient(this) .signInCredentialFromIntent(result.data) // Review the Verify the integrity of the ID token section for // details on how to verify the ID token verifyIdToken(signInCredential.googleIdToken) } catch (e: ApiException) { Log.e(TAG, "Sign-in failed with error code:", e) } } else { Log.e(TAG, "Sign-in failed") } }Java
private final ActivityResultLauncher<IntentSenderResult> activityResultLauncher = registerForActivityResult( new ActivityResultContracts.StartIntentSenderForResult(), result -> { If (result.getResultCode() == RESULT_OK) { try { SignInCredential signInCredential = Identity.getSignInClient(this) .getSignInCredentialFromIntent(result.getData()); verifyIdToken(signInCredential.getGoogleIdToken()); } catch (e: ApiException ) { Log.e(TAG, "Sign-in failed with error:", e) } } else { Log.e(TAG, "Sign-in failed") } });साइन इन करने का अनुरोध तैयार करें
Kotlin
private val tokenRequestOptions = GoogleIdTokenRequestOptions.Builder() .supported(true) // Your server's client ID, not your Android client ID. .serverClientId(getString("your-server-client-id") .filterByAuthorizedAccounts(true) .associateLinkedAccounts("service-id-of-and-defined-by-developer", scopes) .build()Java
private final GoogleIdTokenRequestOptions tokenRequestOptions = GoogleIdTokenRequestOptions.Builder() .setSupported(true) .setServerClientId("your-service-client-id") .setFilterByAuthorizedAccounts(true) .associateLinkedAccounts("service-id-of-and-defined-by-developer", scopes) .build()साइन-इन पेंडिंग इंटेंट लॉन्च करना
Kotlin
Identity.signInClient(this) .beginSignIn( BeginSignInRequest.Builder() .googleIdTokenRequestOptions(tokenRequestOptions) .build()) .addOnSuccessListener{result -> activityResultLauncher.launch(result.pendingIntent.intentSender) } .addOnFailureListener {e -> Log.e(TAG, "Sign-in failed because:", e) }Java
Identity.getSignInClient(this) .beginSignIn( BeginSignInRequest.Builder() .setGoogleIdTokenRequestOptions(tokenRequestOptions) .build()) .addOnSuccessListener(result -> { activityResultLauncher.launch( result.getPendingIntent().getIntentSender()); }) .addOnFailureListener(e -> { Log.e(TAG, "Sign-in failed because:", e); });
पुष्टि करें कि आईडी टोकन भरोसेमंद है या नहीं
टोकन मान्य है, इसकी पुष्टि करने के लिए, पक्का करें कि: शर्तें पूरी की हैं:
- Google ने आईडी टोकन पर सही तरीके से हस्ताक्षर किया है. Google की सार्वजनिक कुंजियों का इस्तेमाल करें
(इसमें उपलब्ध है
JWK या
PEM फ़ॉर्मैट)
टोकन के हस्ताक्षर की पुष्टि करने के लिए. ये बटन नियमित रूप से घुमाए जाते हैं; जांच करें
जवाब में
Cache-Controlहेडर, ताकि यह तय किया जा सके कि कब तो आपको उन्हें फिर से वापस लाना होगा. - आईडी टोकन में
audकी वैल्यू, आपके ऐप्लिकेशन की वैल्यू के बराबर है क्लाइंट आईडी. नुकसान पहुंचाने वाले मैलवेयर को जारी किए गए आईडी टोकन को रोकने के लिए यह जांच करना ज़रूरी है ऐप्लिकेशन का इस्तेमाल, आपके ऐप्लिकेशन के बैकएंड सर्वर पर उसी उपयोगकर्ता का डेटा ऐक्सेस करने के लिए किया जा रहा हो. - आईडी टोकन में
issकी वैल्यू इसके बराबर हैaccounts.google.comयाhttps://accounts.google.com. - आईडी टोकन की समयसीमा खत्म होने का समय (
exp) नहीं हुआ है. - अगर आपको इस बात की पुष्टि करनी है कि आईडी टोकन, Google Workspace या Cloud से जुड़ा है या नहीं
तो आप
hdदावे की जांच कर सकते हैं. इससे पता चलता है कि उपयोगकर्ता के डोमेन के साथ काम करता है. इसका इस्तेमाल तब किया जाना चाहिए, जब किसी संसाधन का ऐक्सेस सिर्फ़ इसके सदस्यों तक सीमित रखा गया हो कुछ डोमेन. इस दावे के मौजूद न होने का मतलब है कि यह खाता किसी Google की ओर से होस्ट किया गया डोमेन.
email, email_verified, और hd फ़ील्ड का इस्तेमाल करके, यह पता लगाया जा सकता है कि
ईमेल पते को Google होस्ट करता है और आधिकारिक तौर पर उपलब्ध कराता है. ऐसे मामलों में जहां Google आधिकारिक है,
वह उपयोगकर्ता उस खाते का वैध स्वामी है और आप पासवर्ड या अन्य विकल्प
चैलेंज के तरीके.
ऐसे मामले, जिनमें Google आधिकारिक जानकारी देता है:
emailमें@gmail.comसफ़िक्स लगा है. यह Gmail खाता है.email_verifiedसही है औरhdसेट है, यह एक G Suite खाता है.
उपयोगकर्ता, Gmail या G Suite का इस्तेमाल किए बिना Google खातों के लिए रजिस्टर कर सकते हैं. टास्क कब शुरू होगा
email में @gmail.com सफ़िक्स नहीं है और hd मौजूद नहीं है, Google
पुष्टि करने के लिए, भरोसेमंद और पासवर्ड या अन्य चैलेंज वाले तरीकों का इस्तेमाल करने का सुझाव दिया जाता है
उपयोगकर्ता है. email_verified भी सही हो सकती है, क्योंकि Google ने शुरुआत में
Google खाता बनाए जाने के समय उपयोगकर्ता, हालांकि तीसरे पक्ष का मालिकाना हक
शायद उसके बाद ईमेल खाता बदल गया है.
पुष्टि करने के इन चरणों को पूरा करने के लिए, अपना कोड लिखने के बजाय हम इस बात पर ज़ोर देते हैं
अपने प्लैटफ़ॉर्म या किसी सामान्य मक़सद के लिए, Google API क्लाइंट लाइब्रेरी का इस्तेमाल करने का सुझाव दिया जाता है
JWT लाइब्रेरी. डेवलपमेंट और डीबग करने के लिए, हमारे tokeninfo पर कॉल करें
पुष्टि करने वाला एंडपॉइंट.
Google API क्लाइंट लाइब्रेरी का इस्तेमाल करना
इसका उपयोग करके Java Google API क्लाइंट लाइब्रेरी प्रोडक्शन एनवायरमेंट में Google आईडी टोकन की पुष्टि करने का सुझाया गया तरीका है.
Java
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;
...
GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
// Specify the CLIENT_ID of the app that accesses the backend:
.setAudience(Collections.singletonList(CLIENT_ID))
// Or, if multiple clients access the backend:
//.setAudience(Arrays.asList(CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3))
.build();
// (Receive idTokenString by HTTPS POST)
GoogleIdToken idToken = verifier.verify(idTokenString);
if (idToken != null) {
Payload payload = idToken.getPayload();
// Print user identifier
String userId = payload.getSubject();
System.out.println("User ID: " + userId);
// Get profile information from payload
String email = payload.getEmail();
boolean emailVerified = Boolean.valueOf(payload.getEmailVerified());
String name = (String) payload.get("name");
String pictureUrl = (String) payload.get("picture");
String locale = (String) payload.get("locale");
String familyName = (String) payload.get("family_name");
String givenName = (String) payload.get("given_name");
// Use or store profile information
// ...
} else {
System.out.println("Invalid ID token.");
}
GoogleIdTokenVerifier.verify() तरीका, JWT हस्ताक्षर की पुष्टि करता है
aud दावा, iss दावा, और उनकाexp दावा.
अगर आपको इस बात की पुष्टि करनी है कि आईडी टोकन, Google Workspace या Cloud से जुड़ा है या नहीं
तो आप डोमेन नेम की जांच करके hd दावे की पुष्टि कर सकते हैं
Payload.getHostedDomain() तरीके से दिखाया जाता है.
टोकनइन्फ़ो एंडपॉइंट को कॉल किया जा रहा है
डीबग करने के लिए, आईडी टोकन सिग्नेचर की पुष्टि करने का आसान तरीका यह है कि
tokeninfo एंडपॉइंट का इस्तेमाल करें. इस एंडपॉइंट पर कॉल करने में
एक अतिरिक्त नेटवर्क अनुरोध, जो सही टेस्ट किए जाने के दौरान, आपके लिए ज़्यादातर पुष्टि करता है
की पुष्टि करने और पेलोड एक्सट्रैक्शन को जोड़ने का तरीका बताएंगे. यह प्रोडक्शन में इस्तेमाल करने के लिए सही नहीं है
कोड, क्योंकि अनुरोधों को थ्रॉटल किया जा सकता है या दूसरी तरह से समय-समय पर गड़बड़ियां हो सकती हैं.
tokeninfo एंडपॉइंट का इस्तेमाल करके, आईडी टोकन की पुष्टि करने के लिए एचटीटीपीएस बनाएं
एंडपॉइंट पर पीओएसटी या जीईटी अनुरोध भेजें और अपना आईडी टोकन
id_token पैरामीटर.
उदाहरण के लिए, टोकन "XYZ123" की पुष्टि करने के लिए, नीचे दिया गया GET अनुरोध करें:
https://oauth2.googleapis.com/tokeninfo?id_token=XYZ123
अगर टोकन को सही तरीके से साइन किया गया है और iss और exp
दावों के लिए अपेक्षित मान हैं, तो आपको एक HTTP 200 प्रतिक्रिया मिलेगी, जहां का मुख्य भाग
JSON के फ़ॉर्मैट किए गए आईडी टोकन के दावे शामिल हैं.
यहां जवाब का एक उदाहरण दिया गया है:
{
// These six fields are included in all Google ID Tokens.
"iss": "https://accounts.google.com",
"sub": "110169484474386276334",
"azp": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
"aud": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
"iat": "1433978353",
"exp": "1433981953",
// These seven fields are only included when the user has granted the "profile" and
// "email" OAuth scopes to the application.
"email": "testuser@gmail.com",
"email_verified": "true",
"name" : "Test User",
"picture": "https://lh4.googleusercontent.com/-kYgzyAWpZzJ/ABCDEFGHI/AAAJKLMNOP/tIXL9Ir44LE/s99-c/photo.jpg",
"given_name": "Test",
"family_name": "User",
"locale": "en"
}अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है
अगर आपको इस बात की पुष्टि करनी है कि आईडी टोकन, Google Workspace खाते का इस्तेमाल करता है या नहीं, तो
hd दावा, जो उपयोगकर्ता के होस्ट किए गए डोमेन के बारे में बताता है. इसका इस्तेमाल तब करें, जब
किसी संसाधन के ऐक्सेस को सिर्फ़ कुछ डोमेन के सदस्यों के लिए प्रतिबंधित करना. इस दावे का न होना
इससे पता चलता है कि खाता, Google Workspace के होस्ट किए गए डोमेन से नहीं जुड़ा है.