Bağlı Hesapta Oturum Açma, Google Hesapları hizmetinize bağlı olan kullanıcılar için Google ile One Tap ile Oturum Açma'yı etkinleştirir. Bu sayede kullanıcılar, kullanıcı adlarını ve şifrelerini yeniden girmeden tek tıklamayla oturum açabildiği için deneyimi iyileştirir. Ayrıca, kullanıcıların hizmetinizde yinelenen hesaplar oluşturma ihtimali de azalır.
Bağlı Hesapta Oturum Açma, Android için One Tap ile Oturum Açma akışının bir parçası olarak kullanılabilir. Dolayısıyla, uygulamanızda One Tap özelliği zaten etkinse ayrı bir kitaplığı içe aktarmanız gerekmez.
Bu dokümanda, Android uygulamanızı Bağlı Hesapta Oturum Açma'yı destekleyecek şekilde nasıl değiştireceğinizi öğreneceksiniz.
İşleyiş şekli
- Tek dokunuşla oturum açma akışı sırasında bağlı hesapları göstermeyi etkinleştirirsiniz.
- Kullanıcı Google'da oturum açmışsa ve Google Hesabını hizmetinizdeki hesabına bağlamışsa bağlı hesap için bir kimlik jetonu döndürülür.
- Kullanıcıya, bağlı hesabıyla hizmetinizde oturum açma seçeneği içeren bir One Tap oturum açma istemi gösterilir.
- Kullanıcı bağlı hesapla devam etmeyi seçerse kullanıcının kimlik jetonu uygulamanıza döndürülür. Bu jetonu, giriş yapmış kullanıcıyı tanımlamak için 2. adımda sunucunuza gönderilen jetonla eşleştirirsiniz.
Kurulum
Geliştirme ortamınızı ayarlama
Geliştirme ana makinenizde Google Play Hizmetleri'nin son sürümünü edinin:
- Android SDK Yöneticisi'ni açın.
SDK Araçları'nın altında Google Play Hizmetleri'ni bulun.
Bu paketlerin durumu Yüklü değilse ikisini de seçip Paketleri Yükle'yi tıklayın.
Uygulamanızı yapılandırma
Proje düzeyindeki
build.gradledosyanıza, hembuildscripthem deallprojectsbölümlerinize Google'ın Maven deposunu ekleyin.buildscript { repositories { google() } } allprojects { repositories { google() } }"Google'a Bağla" API'si için bağımlılıkları, modülünüzün uygulama düzeyindeki gradle dosyasına ekleyin. Bu dosya genellikle
app/build.gradleolur:dependencies { implementation 'com.google.android.gms:play-services-auth:21.2.0' }
Android uygulamanızı, Bağlı Hesapta Oturum Açma özelliğini destekleyecek şekilde değiştirme
Bağlı Hesapta Oturum Açma akışının sonunda uygulamanıza bir kimlik jetonu döndürülür. Kullanıcı oturum açmadan önce kimlik jetonunun bütünlüğü doğrulanmalıdır.
Aşağıdaki kod örneğinde, kimlik jetonunu doğrulama ve ardından kullanıcının oturum açma adımları ile ilgili ayrıntılı bilgiler verilmektedir.
Oturum Açma amacının sonucunu almak için etkinlik oluşturun
Kotlin
private val activityResultLauncher = registerForActivityResult( ActivityResultContracts.StartIntentSenderForResult()) { result -> if (result.resultCode == RESULT_OK) { try { val signInCredentials = Identity.signInClient(this) .signInCredentialFromIntent(result.data) // Review the Verify the integrity of the ID token section for // details on how to verify the ID token verifyIdToken(signInCredential.googleIdToken) } catch (e: ApiException) { Log.e(TAG, "Sign-in failed with error code:", e) } } else { Log.e(TAG, "Sign-in failed") } }Java
private final ActivityResultLauncher<IntentSenderResult> activityResultLauncher = registerForActivityResult( new ActivityResultContracts.StartIntentSenderForResult(), result -> { If (result.getResultCode() == RESULT_OK) { try { SignInCredential signInCredential = Identity.getSignInClient(this) .getSignInCredentialFromIntent(result.getData()); verifyIdToken(signInCredential.getGoogleIdToken()); } catch (e: ApiException ) { Log.e(TAG, "Sign-in failed with error:", e) } } else { Log.e(TAG, "Sign-in failed") } });Oturum açma isteği oluşturma
Kotlin
private val tokenRequestOptions = GoogleIdTokenRequestOptions.Builder() .supported(true) // Your server's client ID, not your Android client ID. .serverClientId(getString("your-server-client-id") .filterByAuthorizedAccounts(true) .associateLinkedAccounts("service-id-of-and-defined-by-developer", scopes) .build()Java
private final GoogleIdTokenRequestOptions tokenRequestOptions = GoogleIdTokenRequestOptions.Builder() .setSupported(true) .setServerClientId("your-service-client-id") .setFilterByAuthorizedAccounts(true) .associateLinkedAccounts("service-id-of-and-defined-by-developer", scopes) .build()Oturum Açma Beklemede niyetini başlat
Kotlin
Identity.signInClient(this) .beginSignIn( BeginSignInRequest.Builder() .googleIdTokenRequestOptions(tokenRequestOptions) .build()) .addOnSuccessListener{result -> activityResultLauncher.launch(result.pendingIntent.intentSender) } .addOnFailureListener {e -> Log.e(TAG, "Sign-in failed because:", e) }Java
Identity.getSignInClient(this) .beginSignIn( BeginSignInRequest.Builder() .setGoogleIdTokenRequestOptions(tokenRequestOptions) .build()) .addOnSuccessListener(result -> { activityResultLauncher.launch( result.getPendingIntent().getIntentSender()); }) .addOnFailureListener(e -> { Log.e(TAG, "Sign-in failed because:", e); });
Kimlik jetonunun bütünlüğünü doğrulayın
Jetonun geçerli olduğunu doğrulamak için aşağıdaki ölçütlerin karşılandığından emin olun:
- Kimlik jetonu Google tarafından gerektiği gibi imzalanmıştır. Jetonun imzasını doğrulamak için Google'ın ortak anahtarlarını (JWK veya PEM biçiminde mevcuttur) kullanın. Bu anahtarlara düzenli olarak rotasyon uygulanır. Bunları tekrar ne zaman almanız gerektiğini belirlemek için yanıttaki
Cache-Controlüst bilgisini inceleyin. - Kimlik jetonundaki
auddeğeri, uygulamanızın istemci kimliklerinden birine eşit. Bu kontrol, kötü amaçlı bir uygulamaya verilen kimlik jetonlarının, uygulamanızın arka uç sunucusunda aynı kullanıcıyla ilgili verilere erişmek amacıyla kullanılmasını önlemek için gereklidir. - Kimlik jetonundaki
issdeğeri şuna eşit:accounts.google.comveyahttps://accounts.google.com. - Kimlik jetonunun süre sonu (
exp) geçmedi. - Kimlik jetonunun bir Google Workspace veya Cloud kuruluş hesabını temsil ettiğini doğrulamanız gerekiyorsa kullanıcının barındırılan alanını belirten
hdhak talebini kontrol edebilirsiniz. Bu, bir kaynağa erişimi yalnızca belirli alanların üyeleriyle kısıtlarken kullanılmalıdır. Bu iddianın olmaması, hesabın Google tarafından barındırılan bir alana ait olmadığını gösterir.
Bu doğrulama adımlarını gerçekleştirmek için kendi kodunuzu yazmak yerine platformunuz için bir Google API istemci kitaplığı veya genel amaçlı bir JWT kitaplığı kullanmanızı kesinlikle öneririz. Geliştirme ve hata ayıklama için tokeninfo doğrulama uç noktamızı çağırabilirsiniz.
Google API İstemci Kitaplığı Kullanın
Bir üretim ortamında Google kimliği jetonlarını doğrulamak için önerilen yöntem Java Google API İstemci Kitaplığı'nı kullanmaktır.
Java
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;
...
GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
// Specify the CLIENT_ID of the app that accesses the backend:
.setAudience(Collections.singletonList(CLIENT_ID))
// Or, if multiple clients access the backend:
//.setAudience(Arrays.asList(CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3))
.build();
// (Receive idTokenString by HTTPS POST)
GoogleIdToken idToken = verifier.verify(idTokenString);
if (idToken != null) {
Payload payload = idToken.getPayload();
// Print user identifier
String userId = payload.getSubject();
System.out.println("User ID: " + userId);
// Get profile information from payload
String email = payload.getEmail();
boolean emailVerified = Boolean.valueOf(payload.getEmailVerified());
String name = (String) payload.get("name");
String pictureUrl = (String) payload.get("picture");
String locale = (String) payload.get("locale");
String familyName = (String) payload.get("family_name");
String givenName = (String) payload.get("given_name");
// Use or store profile information
// ...
} else {
System.out.println("Invalid ID token.");
}
GoogleIdTokenVerifier.verify() yöntemi; JWT imzasını, aud hak talebini, iss hak talebini ve bunlara aitexp hak talebini doğrular.
Kimlik jetonunun bir Google Workspace veya Cloud kuruluş hesabını temsil ettiğini doğrulamanız gerekiyorsa Payload.getHostedDomain() yöntemiyle döndürülen alan adını kontrol ederek hd hak talebini doğrulayabilirsiniz.
Jetonbilgi uç noktasını çağırma
Hata ayıklama için kimlik jetonu imzasını doğrulamanın kolay bir yolu, tokeninfo uç noktasını kullanmaktır. Bu uç noktanın çağrılması, kendi kodunuzda doğru doğrulamayı ve yük ayıklamayı test ederken doğrulamanın büyük kısmını sizin için yapan ek bir ağ isteği içerir. İstekler kısıtlanabileceği veya başka şekilde aralıklı hatalara maruz kalabileceğinden üretim kodunda kullanıma uygun değildir.
tokeninfo uç noktasını kullanarak kimlik jetonunu doğrulamak için uç noktaya bir HTTPS POST veya GET isteği gönderin ve kimlik jetonunuzu id_token parametresinde iletin.
Örneğin, "XYZ123" jetonunu doğrulamak için aşağıdaki GET isteğini yapın:
https://oauth2.googleapis.com/tokeninfo?id_token=XYZ123
Jeton düzgün şekilde imzalandıysa ve iss ile exp hak talepleri beklenen değerleri içeriyorsa bir HTTP 200 yanıtı alırsınız. Burada, gövde JSON biçimli kimlik jetonu taleplerini içerir.
Aşağıda örnek bir yanıt verilmiştir:
{
// These six fields are included in all Google ID Tokens.
"iss": "https://accounts.google.com",
"sub": "110169484474386276334",
"azp": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
"aud": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
"iat": "1433978353",
"exp": "1433981953",
// These seven fields are only included when the user has granted the "profile" and
// "email" OAuth scopes to the application.
"email": "testuser@gmail.com",
"email_verified": "true",
"name" : "Test User",
"picture": "https://lh4.googleusercontent.com/-kYgzyAWpZzJ/ABCDEFGHI/AAAJKLMNOP/tIXL9Ir44LE/s99-c/photo.jpg",
"given_name": "Test",
"family_name": "User",
"locale": "en"
}
Kimlik jetonunun bir Google Workspace hesabını temsil ettiğini doğrulamanız gerekiyorsa kullanıcının barındırılan alanını belirten hd hak talebini kontrol edebilirsiniz. Bu, bir kaynağa erişimi yalnızca belirli alanların üyeleriyle kısıtlarken kullanılmalıdır. Bu iddianın olmaması hesabın Google Workspace tarafından barındırılan bir alana ait olmadığını gösterir.