लिंक किए गए खाते से साइन इन करने पर, उन लोगों के लिए One टैप करके Google से साइन इन करें सुविधा चालू हो जाती है जिन्होंने पहले से ही आपका Google खाता, आपकी सेवा से लिंक किया हुआ है. इससे उपयोगकर्ताओं का अनुभव बेहतर होता है, क्योंकि वे अपना उपयोगकर्ता नाम और पासवर्ड दोबारा डाले बिना, सिर्फ़ एक क्लिक करके साइन इन कर सकते हैं. इससे, उपयोगकर्ताओं के आपकी सेवा पर डुप्लीकेट खाते बनाने की संभावना भी कम हो जाती है.
लिंक किए गए खाते में साइन इन करने की सुविधा, Android के लिए एक टैप में साइन इन फ़्लो के हिस्से के तौर पर उपलब्ध है. इसका मतलब है कि अगर आपके ऐप्लिकेशन में One Tap की सुविधा पहले से चालू है, तो आपको अलग से कोई लाइब्रेरी इंपोर्ट करने की ज़रूरत नहीं है.
इस दस्तावेज़ में, लिंक किए गए खाते में साइन इन करने की सुविधा के लिए, अपने Android ऐप्लिकेशन में बदलाव करने का तरीका बताया गया है.
स्पेस कैसे काम करता है
- आपने एक टैप में साइन इन फ़्लो के दौरान, लिंक किए गए खातों को दिखाने के लिए ऑप्ट इन किया है.
- अगर उपयोगकर्ता ने Google में साइन इन किया हुआ है और उसने आपकी सेवा पर अपने Google खाते को अपने खाते से लिंक किया है, तो लिंक किए गए खाते के लिए आईडी टोकन लौटाया जाएगा.
- उपयोगकर्ता को One Tap की मदद से साइन-इन करने का अनुरोध दिखाया जाता है. साथ ही, उसे अपने लिंक किए गए खाते से आपकी सेवा में साइन इन करने का विकल्प भी दिखता है.
- अगर उपयोगकर्ता लिंक किए गए खाते का इस्तेमाल जारी रखने का विकल्प चुनता है, तो उपयोगकर्ता का आईडी टोकन आपके ऐप्लिकेशन को वापस कर दिया जाता है. इसका मिलान उस टोकन से किया जाता है जो लॉग इन किए गए उपयोगकर्ता की पहचान करने के लिए, दूसरे चरण में आपके सर्वर पर भेजा गया था.
सेटअप
अपना डेवलपमेंट एनवायरमेंट सेट अप करें
अपने डेवलपमेंट होस्ट पर नई Google Play सेवाएं पाएं:
- Android SDK Manager खोलें.
SDK टूल में जाकर, Google Play services को ढूंढें.
अगर इन पैकेज की स्थिति इंस्टॉल नहीं की गई है, तो दोनों को चुनें और पैकेज इंस्टॉल करें पर क्लिक करें.
अपना ऐप्लिकेशन कॉन्फ़िगर करें
प्रोजेक्ट-लेवल की
build.gradleफ़ाइल में, अपनेbuildscriptऔरallprojects, दोनों सेक्शन में Google की Maven रिपॉज़िटरी को शामिल करें.buildscript { repositories { google() } } allprojects { repositories { google() } }अपने मॉड्यूल की ऐप्लिकेशन-लेवल की Gradle फ़ाइल में, "Google से लिंक करें" एपीआई के लिए डिपेंडेंसी जोड़ें, जो आम तौर पर
app/build.gradleहोती है:dependencies { implementation 'com.google.android.gms:play-services-auth:21.2.0' }
लिंक किए गए खाते में साइन इन करने की सुविधा के लिए, अपने Android ऐप्लिकेशन में बदलाव करना
लिंक किए गए खाते के साइन इन फ़्लो के आखिर में, आपके ऐप्लिकेशन पर एक आईडी टोकन दिखता है. उपयोगकर्ता को साइन इन करने से पहले, आईडी टोकन के रखरखाव की पुष्टि की जानी चाहिए.
इस कोड सैंपल में, आईडी टोकन की पुष्टि करने और उपयोगकर्ता को साइन इन करने का तरीका बताया गया है.
साइन-इन इंटेंट का नतीजा पाने के लिए, कोई गतिविधि बनाएं
Kotlin
private val activityResultLauncher = registerForActivityResult( ActivityResultContracts.StartIntentSenderForResult()) { result -> if (result.resultCode == RESULT_OK) { try { val signInCredentials = Identity.signInClient(this) .signInCredentialFromIntent(result.data) // Review the Verify the integrity of the ID token section for // details on how to verify the ID token verifyIdToken(signInCredential.googleIdToken) } catch (e: ApiException) { Log.e(TAG, "Sign-in failed with error code:", e) } } else { Log.e(TAG, "Sign-in failed") } }Java
private final ActivityResultLauncher<IntentSenderResult> activityResultLauncher = registerForActivityResult( new ActivityResultContracts.StartIntentSenderForResult(), result -> { If (result.getResultCode() == RESULT_OK) { try { SignInCredential signInCredential = Identity.getSignInClient(this) .getSignInCredentialFromIntent(result.getData()); verifyIdToken(signInCredential.getGoogleIdToken()); } catch (e: ApiException ) { Log.e(TAG, "Sign-in failed with error:", e) } } else { Log.e(TAG, "Sign-in failed") } });साइन इन करने का अनुरोध तैयार करें
Kotlin
private val tokenRequestOptions = GoogleIdTokenRequestOptions.Builder() .supported(true) // Your server's client ID, not your Android client ID. .serverClientId(getString("your-server-client-id") .filterByAuthorizedAccounts(true) .associateLinkedAccounts("service-id-of-and-defined-by-developer", scopes) .build()Java
private final GoogleIdTokenRequestOptions tokenRequestOptions = GoogleIdTokenRequestOptions.Builder() .setSupported(true) .setServerClientId("your-service-client-id") .setFilterByAuthorizedAccounts(true) .associateLinkedAccounts("service-id-of-and-defined-by-developer", scopes) .build()साइन-इन पेंडिंग इंटेंट लॉन्च करना
Kotlin
Identity.signInClient(this) .beginSignIn( BeginSignInRequest.Builder() .googleIdTokenRequestOptions(tokenRequestOptions) .build()) .addOnSuccessListener{result -> activityResultLauncher.launch(result.pendingIntent.intentSender) } .addOnFailureListener {e -> Log.e(TAG, "Sign-in failed because:", e) }Java
Identity.getSignInClient(this) .beginSignIn( BeginSignInRequest.Builder() .setGoogleIdTokenRequestOptions(tokenRequestOptions) .build()) .addOnSuccessListener(result -> { activityResultLauncher.launch( result.getPendingIntent().getIntentSender()); }) .addOnFailureListener(e -> { Log.e(TAG, "Sign-in failed because:", e); });
पुष्टि करें कि आईडी टोकन भरोसेमंद है या नहीं
टोकन मान्य है या नहीं, इसकी पुष्टि करने के लिए पक्का करें कि नीचे दी गई शर्तों को पूरा किया गया हो:
- Google ने आईडी टोकन पर सही तरीके से हस्ताक्षर किया है. टोकन के हस्ताक्षर की पुष्टि करने के लिए, Google की सार्वजनिक कुंजियों
(JWK या
PEM फ़ॉर्मैट में उपलब्ध)
का इस्तेमाल करें. इन कुंजियों को नियमित तौर पर घुमाया जाता है. जवाब में
Cache-Controlहेडर की जांच करके, यह तय करें कि आपको उन्हें फिर से कब वापस पाना चाहिए. - आईडी टोकन में
audकी वैल्यू आपके ऐप्लिकेशन के किसी क्लाइंट आईडी के बराबर है. यह जांच इसलिए ज़रूरी है, ताकि किसी नुकसान पहुंचाने वाले ऐप्लिकेशन को जारी किए गए आईडी टोकन, आपके ऐप्लिकेशन के बैकएंड सर्वर पर, उसी उपयोगकर्ता का डेटा ऐक्सेस करने के लिए इस्तेमाल न किए जा सकें. - आईडी टोकन में
issकी वैल्यूaccounts.google.comयाhttps://accounts.google.comके बराबर है. - आईडी टोकन की समयसीमा (
exp) खत्म नहीं हुई है. - अगर आपको इस बात की पुष्टि करनी है कि आईडी टोकन, Google Workspace या Cloud
संगठन के खाते के बारे में बताता है, तो
hdदावा देखें. इससे पता चलता है कि उपयोगकर्ता का होस्ट किया गया डोमेन क्या है. किसी संसाधन के ऐक्सेस को सिर्फ़ कुछ डोमेन के सदस्यों को सीमित करते समय इसका इस्तेमाल करना चाहिए. यह दावा मौजूद न होने का मतलब है कि यह खाता, Google के होस्ट किए गए डोमेन से नहीं जुड़ा है.
पुष्टि करने के इन चरणों को पूरा करने के लिए खुद का कोड लिखने के बजाय, हमारा सुझाव है कि आप अपने प्लैटफ़ॉर्म के लिए, Google API क्लाइंट लाइब्रेरी या अलग-अलग कामों के लिए इस्तेमाल की जाने वाली JWT लाइब्रेरी इस्तेमाल करें. डेवलपमेंट और डीबग करने के लिए, हमारे tokeninfo
वैलिडेशन एंडपॉइंट को कॉल किया जा सकता है.
Google API क्लाइंट लाइब्रेरी का इस्तेमाल करना
प्रोडक्शन एनवायरमेंट में Google आईडी टोकन की पुष्टि करने के लिए, Java Google API क्लाइंट लाइब्रेरी का इस्तेमाल करना सबसे सही तरीका है.
Java
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;
...
GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
// Specify the CLIENT_ID of the app that accesses the backend:
.setAudience(Collections.singletonList(CLIENT_ID))
// Or, if multiple clients access the backend:
//.setAudience(Arrays.asList(CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3))
.build();
// (Receive idTokenString by HTTPS POST)
GoogleIdToken idToken = verifier.verify(idTokenString);
if (idToken != null) {
Payload payload = idToken.getPayload();
// Print user identifier
String userId = payload.getSubject();
System.out.println("User ID: " + userId);
// Get profile information from payload
String email = payload.getEmail();
boolean emailVerified = Boolean.valueOf(payload.getEmailVerified());
String name = (String) payload.get("name");
String pictureUrl = (String) payload.get("picture");
String locale = (String) payload.get("locale");
String familyName = (String) payload.get("family_name");
String givenName = (String) payload.get("given_name");
// Use or store profile information
// ...
} else {
System.out.println("Invalid ID token.");
}
GoogleIdTokenVerifier.verify() तरीका, JWT के हस्ताक्षर, aud दावे, iss दावे, और उनकेexp दावों की पुष्टि करता है.
अगर आपको इस बात की पुष्टि करनी है कि आईडी टोकन, Google Workspace या Cloud संगठन खाते से जुड़ा है, तो hd दावे की पुष्टि की जा सकती है. इसके लिए, Payload.getHostedDomain() तरीके से दिखाए गए डोमेन नेम की जांच करें.
टोकन जानकारी एंडपॉइंट को कॉल करना
डीबगिंग के लिए, आईडी टोकन सिग्नेचर की पुष्टि करने का एक आसान तरीका
tokeninfo एंडपॉइंट का इस्तेमाल करना है. इस एंडपॉइंट को कॉल करने के लिए एक और नेटवर्क अनुरोध शामिल होता है. इससे अपने कोड में सही तरीके से पुष्टि करने और पेलोड निकालने
की जांच करने के दौरान, पुष्टि का ज़्यादातर काम किया जाता है. यह प्रोडक्शन कोड में इस्तेमाल करने के लिए सही नहीं है, क्योंकि अनुरोधों को रोका जा सकता है या कभी-कभी गड़बड़ियां भी हो सकती हैं.
tokeninfo एंडपॉइंट का इस्तेमाल करके, किसी आईडी टोकन की पुष्टि करने के लिए, एंडपॉइंट पर एचटीटीपीएस POST या GET अनुरोध भेजें और id_token पैरामीटर में अपना आईडी टोकन पास करें.
उदाहरण के लिए, "XYZ123" टोकन की पुष्टि करने के लिए, यह GET अनुरोध करें:
https://oauth2.googleapis.com/tokeninfo?id_token=XYZ123
अगर टोकन सही तरीके से साइन किया गया है और iss और exp के दावों में अनुमानित वैल्यू हैं, तो आपको एचटीटीपी 200 रिस्पॉन्स मिलेगा. इस रिस्पॉन्स के मुख्य भाग में JSON फ़ॉर्मैट वाले आईडी टोकन के दावे शामिल होंगे.
यहां जवाब का एक उदाहरण दिया गया है:
{
// These six fields are included in all Google ID Tokens.
"iss": "https://accounts.google.com",
"sub": "110169484474386276334",
"azp": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
"aud": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
"iat": "1433978353",
"exp": "1433981953",
// These seven fields are only included when the user has granted the "profile" and
// "email" OAuth scopes to the application.
"email": "testuser@gmail.com",
"email_verified": "true",
"name" : "Test User",
"picture": "https://lh4.googleusercontent.com/-kYgzyAWpZzJ/ABCDEFGHI/AAAJKLMNOP/tIXL9Ir44LE/s99-c/photo.jpg",
"given_name": "Test",
"family_name": "User",
"locale": "en"
}
अगर आपको इस बात की पुष्टि करनी है कि आईडी टोकन से Google Workspace खाते का पता चलता है, तो hd दावा देखें. इससे पता चलता है कि उपयोगकर्ता का होस्ट किया गया डोमेन क्या है. इसका इस्तेमाल तब करना चाहिए,
जब किसी संसाधन के ऐक्सेस को सिर्फ़ कुछ डोमेन के सदस्यों तक सीमित किया गया हो. यह दावा मौजूद न होने का मतलब है कि यह खाता, Google Workspace के होस्ट किए गए डोमेन से जुड़ा नहीं है.