リンクされたアカウントでのログインにより、ユーザーは Google でワンタップでログインできるようになります Google アカウントをサービスにリンクしますこれにより、 再入力することなくワンクリックでログインできるため、 ユーザー名とパスワードを入力します。また、ユーザーがスペースを作成して 重複アカウントを排除できます
リンクされたアカウントのログインは、 Android。つまり、アプリに別のライブラリをインポートする必要はありません。 ワンタップ機能がすでに有効になっています。
このドキュメントでは、Android アプリを リンクされたアカウントへのログイン。
仕組み
- ワンタップ ログインのフロー中にリンクされたアカウントの表示にオプトインします。
- ユーザーが Google にログインしていて、Google アカウントを 関連付ける場合は、リンクされたサービス アカウントに対して ID トークンが あります。
- ユーザーには、 アカウントをリンクします。
- ユーザーがリンクされたアカウントで続行することを選択した場合、ユーザーの ID トークン アプリに返されます。これを、アカウントに送信されたトークンと ログイン ユーザーを識別します。
セットアップ
開発環境を設定する
開発ホストで最新の Google Play 開発者サービスを入手します。
- アプリ Android SDK Manager:
[SDK Tools] で [Google Play 開発者サービス] を探します。
これらのパッケージのステータスが [Installed] でない場合は、両方を選択して [ パッケージをインストールする。
アプリを設定する
プロジェクト レベルの
build.gradleファイルに、Google の Maven リポジトリを含めます。buildscriptとallprojectsの両方のセクション。buildscript { repositories { google() } } allprojects { repositories { google() } }「Google とリンク」の依存関係を追加します。API をモジュールの アプリレベルの Gradle ファイル(通常は
app/build.gradle)dependencies { implementation 'com.google.android.gms:play-services-auth:21.2.0' }
リンクされたアカウントへのログインをサポートするように Android アプリを変更する
リンクされたアカウントへのログインフローが終了すると、ID トークンが 。ユーザーがログインする前に、ID トークンの整合性を検証する必要があります。
次のコードサンプルでは、リソースの取得、 ID トークンを検証してから、 ログインする必要があります。
ログイン インテントの結果を受け取るアクティビティを作成する
Kotlin
private val activityResultLauncher = registerForActivityResult( ActivityResultContracts.StartIntentSenderForResult()) { result -> if (result.resultCode == RESULT_OK) { try { val signInCredentials = Identity.signInClient(this) .signInCredentialFromIntent(result.data) // Review the Verify the integrity of the ID token section for // details on how to verify the ID token verifyIdToken(signInCredential.googleIdToken) } catch (e: ApiException) { Log.e(TAG, "Sign-in failed with error code:", e) } } else { Log.e(TAG, "Sign-in failed") } }Java
private final ActivityResultLauncher<IntentSenderResult> activityResultLauncher = registerForActivityResult( new ActivityResultContracts.StartIntentSenderForResult(), result -> { If (result.getResultCode() == RESULT_OK) { try { SignInCredential signInCredential = Identity.getSignInClient(this) .getSignInCredentialFromIntent(result.getData()); verifyIdToken(signInCredential.getGoogleIdToken()); } catch (e: ApiException ) { Log.e(TAG, "Sign-in failed with error:", e) } } else { Log.e(TAG, "Sign-in failed") } });ログイン リクエストを作成する
Kotlin
private val tokenRequestOptions = GoogleIdTokenRequestOptions.Builder() .supported(true) // Your server's client ID, not your Android client ID. .serverClientId(getString("your-server-client-id") .filterByAuthorizedAccounts(true) .associateLinkedAccounts("service-id-of-and-defined-by-developer", scopes) .build()Java
private final GoogleIdTokenRequestOptions tokenRequestOptions = GoogleIdTokenRequestOptions.Builder() .setSupported(true) .setServerClientId("your-service-client-id") .setFilterByAuthorizedAccounts(true) .associateLinkedAccounts("service-id-of-and-defined-by-developer", scopes) .build()ログイン保留中インテントを起動する
Kotlin
Identity.signInClient(this) .beginSignIn( BeginSignInRequest.Builder() .googleIdTokenRequestOptions(tokenRequestOptions) .build()) .addOnSuccessListener{result -> activityResultLauncher.launch(result.pendingIntent.intentSender) } .addOnFailureListener {e -> Log.e(TAG, "Sign-in failed because:", e) }Java
Identity.getSignInClient(this) .beginSignIn( BeginSignInRequest.Builder() .setGoogleIdTokenRequestOptions(tokenRequestOptions) .build()) .addOnSuccessListener(result -> { activityResultLauncher.launch( result.getPendingIntent().getIntentSender()); }) .addOnFailureListener(e -> { Log.e(TAG, "Sign-in failed because:", e); });
ID トークンの整合性を確認する
トークンが有効であることを確認するには、次のことを確認します。 条件が満たされます。
- ID トークンが Google によって適切に署名されている。Google の公開鍵を使用する
(
JWK または
PEM 形式)
トークンの署名を検証します。これらの鍵は定期的にローテーションされます。調べる
レスポンスの
Cache-Controlヘッダーを使用して、 再度取得する必要があります - ID トークンの
audの値がアプリのいずれかの値と等しい クライアント ID などがあります。このチェックは、悪意のあるクライアントに ID トークンを発行するのを防ぐために必要です。 アプリが、アプリのバックエンド サーバー上の同一ユーザーに関するデータにアクセスするために使用されています。 - ID トークンの
issの値は次と等しいaccounts.google.comまたはhttps://accounts.google.com。 - ID トークンの有効期限(
exp)を過ぎていない。 - ID トークンが Google Workspace または Cloud
組織アカウントの場合は、
hdクレームを確認できます。これは、ホストされている Pod が ユーザーのドメインです。これは、リソースへのアクセスをそのメンバーのみに制限する場合に できます。このクレームがない場合、アカウントは Google がホストするドメイン。
email、email_verified、hd フィールドを使用して、
Google はメールアドレスをホストし、その権威があります。Google が信頼できる場合、
そのユーザーが正当なアカウント所有者であることがわかっているため、パスワードやその他の
確認しましょう。
Google が信頼できるケース:
emailには@gmail.comという接尾辞が付いています。これは Gmail アカウントです。email_verifiedは true で、hdが設定されています。これは G Suite アカウントです。
ユーザーは Gmail や G Suite を使用せずに Google アカウントを登録できます。日時
email に @gmail.com という接尾辞がなく、hd が存在しないと、Google にはありません。
認証には、信頼できる認証方法、パスワード、その他の本人確認方法を使用することが推奨されます。
できます。email_verified も、Google が最初に検証した
ユーザーに付与できますが、サードパーティの所有権が付与されます。
アカウントが変更された可能性があります。
これらの検証ステップを実行するために独自のコードを記述するのではなく、
プラットフォームに適した Google API クライアント ライブラリを使用するか、
JWT ライブラリ。開発とデバッグの場合は、tokeninfo を呼び出すことができます。
検証エンドポイントを指定します。
Google API クライアント ライブラリを使用する
Java Google API クライアント ライブラリ は、本番環境で Google ID トークンを検証する場合におすすめの方法です。
Java
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;
...
GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
// Specify the CLIENT_ID of the app that accesses the backend:
.setAudience(Collections.singletonList(CLIENT_ID))
// Or, if multiple clients access the backend:
//.setAudience(Arrays.asList(CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3))
.build();
// (Receive idTokenString by HTTPS POST)
GoogleIdToken idToken = verifier.verify(idTokenString);
if (idToken != null) {
Payload payload = idToken.getPayload();
// Print user identifier
String userId = payload.getSubject();
System.out.println("User ID: " + userId);
// Get profile information from payload
String email = payload.getEmail();
boolean emailVerified = Boolean.valueOf(payload.getEmailVerified());
String name = (String) payload.get("name");
String pictureUrl = (String) payload.get("picture");
String locale = (String) payload.get("locale");
String familyName = (String) payload.get("family_name");
String givenName = (String) payload.get("given_name");
// Use or store profile information
// ...
} else {
System.out.println("Invalid ID token.");
}
GoogleIdTokenVerifier.verify() メソッドは JWT 署名を検証し、
aud クレーム、iss クレーム、および exp クレームです。
ID トークンが Google Workspace または Cloud
組織アカウントの場合は、ドメイン名を確認することで hd クレームを確認できます。
Payload.getHostedDomain() メソッドが返す値。
tokeninfo エンドポイントの呼び出し
tokeninfo エンドポイントを使用すると、デバッグのために ID トークンの署名を簡単に検証できます。このエンドポイントを呼び出すと、追加のネットワーク リクエストが必要になりますが、検証の大部分は、独自のコードで適切な検証とペイロード抽出のテストを行います。リクエストがスロットリングされたり、断続的にエラーが発生する可能性があるため、本番環境コードでの使用には適していません。
tokeninfo エンドポイントを使用して ID トークンを検証するには、エンドポイントに HTTPS POST または GET リクエストを作成し、id_token パラメータで ID トークンを渡します。たとえば、トークン「XYZ123」を検証するには、次の GET リクエストを作成します。
https://oauth2.googleapis.com/tokeninfo?id_token=XYZ123
トークンが適切に署名され、iss クレームと exp クレームに想定される値がある場合は、HTTP 200 レスポンスが返されます。本文には JSON 形式の ID トークン クレームが含まれます。以下はレスポンスの例です。
{
// These six fields are included in all Google ID Tokens.
"iss": "https://accounts.google.com",
"sub": "110169484474386276334",
"azp": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
"aud": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
"iat": "1433978353",
"exp": "1433981953",
// These seven fields are only included when the user has granted the "profile" and
// "email" OAuth scopes to the application.
"email": "testuser@gmail.com",
"email_verified": "true",
"name" : "Test User",
"picture": "https://lh4.googleusercontent.com/-kYgzyAWpZzJ/ABCDEFGHI/AAAJKLMNOP/tIXL9Ir44LE/s99-c/photo.jpg",
"given_name": "Test",
"family_name": "User",
"locale": "en"
}
ID トークンが Google Workspace アカウントを表すことを検証する必要がある場合は、ユーザーのホスト ドメインを示す hd クレームを確認できます。リソースへのアクセスを特定のドメインのメンバーのみに制限する場合は、このオプションを使用する必要があります。このクレームがない場合、アカウントは Google Workspace でホストされているドメインに属していません。