Questa pagina è stata tradotta dall'API Cloud Translation.

Accesso all'account collegato per Android

L'opzione Accedi con un account collegato attiva l'opzione Accedi con Google One Tap per gli utenti che hanno già collegato il proprio Account Google al tuo servizio. Questo migliora l'esperienza degli utenti, in quanto possono accedere con un solo clic, senza dover reinserire nome utente e password. Inoltre, riduce le possibilità che gli utenti creino account duplicati nel tuo servizio.

L'accesso con un account collegato è disponibile nell'ambito del flusso di accesso One Tap per Android. Ciò significa che non devi importare una raccolta separata se la tua app ha già attivato la funzionalità One Tap.

In questo documento imparerai a modificare l'app per Android per supportare l'accesso ad account collegato.

Come funziona

Attiva la visualizzazione degli account collegati durante il flusso di accesso One Tap.
Se l'utente ha eseguito l'accesso su Google e ha collegato il proprio Account Google al proprio account sul tuo servizio, verrà restituito un token ID per l'account collegato.
L'utente visualizza una richiesta di accesso One Tap con un'opzione per accedere al tuo servizio con il suo account collegato.
Se l'utente sceglie di continuare con l'account collegato, il token ID dell'utente viene restituito alla tua app. Devi confrontare questo token con quello inviato al tuo server nel passaggio 2 per identificare l'utente che ha eseguito l'accesso.

Imposta

Configurazione dell'ambiente di sviluppo

Scarica la versione più recente di Google Play Services sull'host di sviluppo:

Apri Android SDK Manager.

In Strumenti SDK, individua Google Play Services.
Se lo stato di questi pacchetti non è installato, selezionali entrambi e fai clic su Installa pacchetti.

Configura la tua app

Nel file build.gradle a livello di progetto, includi il Repository Maven di Google in entrambe le sezioni buildscript e allprojects.
```
buildscript {
    repositories {
        google()
    }
}

allprojects {
    repositories {
        google()
    }
}
```
Aggiungi le dipendenze per l'API"Collega con Google" al file gradle a livello di app del tuo modulo, che in genere è app/build.gradle:
```
dependencies {
  implementation 'com.google.android.gms:play-services-auth:21.2.0'
}
```

Modificare l'app per Android in modo che supporti l'accesso all'account collegato

Al termine del flusso di accesso all'account collegato, viene restituito un token ID alla tua app. L'integrità del token ID deve essere verificata prima di consentire l'accesso dell'utente.

Il seguente esempio di codice descrive in dettaglio i passaggi da recuperare, verificare il token ID e successivamente eseguire l'accesso dell'utente.

Crea un'attività per ricevere il risultato dell'intento di accesso

Kotlin

  private val activityResultLauncher = registerForActivityResult(
    ActivityResultContracts.StartIntentSenderForResult()) { result ->
    if (result.resultCode == RESULT_OK) {
      try {
        val signInCredentials = Identity.signInClient(this)
                                .signInCredentialFromIntent(result.data)
        // Review the Verify the integrity of the ID token section for
        // details on how to verify the ID token
        verifyIdToken(signInCredential.googleIdToken)
      } catch (e: ApiException) {
        Log.e(TAG, "Sign-in failed with error code:", e)
      }
    } else {
      Log.e(TAG, "Sign-in failed")
    }
  }

Java

  private final ActivityResultLauncher<IntentSenderResult>
    activityResultLauncher = registerForActivityResult(
    new ActivityResultContracts.StartIntentSenderForResult(),
    result -> {
    If (result.getResultCode() == RESULT_OK) {
        try {
          SignInCredential signInCredential = Identity.getSignInClient(this)
                         .getSignInCredentialFromIntent(result.getData());
          verifyIdToken(signInCredential.getGoogleIdToken());
        } catch (e: ApiException ) {
          Log.e(TAG, "Sign-in failed with error:", e)
        }
    } else {
        Log.e(TAG, "Sign-in failed")
    }
});

Crea la richiesta di accesso

Kotlin

private val tokenRequestOptions =
GoogleIdTokenRequestOptions.Builder()
  .supported(true)
  // Your server's client ID, not your Android client ID.
  .serverClientId(getString("your-server-client-id")
  .filterByAuthorizedAccounts(true)
  .associateLinkedAccounts("service-id-of-and-defined-by-developer",
                           scopes)
  .build()

Java

 private final GoogleIdTokenRequestOptions tokenRequestOptions =
     GoogleIdTokenRequestOptions.Builder()
  .setSupported(true)
  .setServerClientId("your-service-client-id")
  .setFilterByAuthorizedAccounts(true)
  .associateLinkedAccounts("service-id-of-and-defined-by-developer",
                            scopes)
  .build()

Lancia l'intent in attesa di accesso

Kotlin

 Identity.signInClient(this)
    .beginSignIn(
  BeginSignInRequest.Builder()
    .googleIdTokenRequestOptions(tokenRequestOptions)
  .build())
    .addOnSuccessListener{result ->
      activityResultLauncher.launch(result.pendingIntent.intentSender)
  }
  .addOnFailureListener {e ->
    Log.e(TAG, "Sign-in failed because:", e)
  }

Java

 Identity.getSignInClient(this)
  .beginSignIn(
    BeginSignInRequest.Builder()
      .setGoogleIdTokenRequestOptions(tokenRequestOptions)
      .build())
  .addOnSuccessListener(result -> {
    activityResultLauncher.launch(
        result.getPendingIntent().getIntentSender());
})
.addOnFailureListener(e -> {
  Log.e(TAG, "Sign-in failed because:", e);
});

Verifica l'integrità del token ID

Per verificare che il token sia valido, assicurati che siano soddisfatti i seguenti criteri:

Il token ID sia firmato correttamente da Google. Utilizza le chiavi pubbliche di Google (disponibili in formato JWK o PEM) per verificare la firma del token. Queste chiavi vengono ruotate regolarmente; esamina l'intestazione Cache-Control nella risposta per determinare quando devi recuperarle di nuovo.
Il valore di aud nel token ID è uguale a uno degli ID client della tua app. Questo controllo è necessario per impedire che i token ID emessi a un'app dannosa vengano utilizzati per accedere ai dati sullo stesso utente sul server di backend dell'app.
Il valore di iss nel token ID è uguale a accounts.google.com o https://accounts.google.com.
La scadenza (exp) del token ID non è trascorsa.
Se devi verificare che il token ID rappresenti un account Google Workspace o Cloud dell'organizzazione, puoi controllare la rivendicazione hd, che indica il dominio ospitato dell'utente. Questa opzione deve essere utilizzata per limitare l'accesso a una risorsa ai soli membri di determinati domini. L'assenza di questa rivendicazione indica che l'account non appartiene a un dominio ospitato da Google.

Anziché scrivere il tuo codice per eseguire questi passaggi di verifica, ti consigliamo vivamente di utilizzare una libreria client API di Google per la tua piattaforma o una libreria JWT generica. Per lo sviluppo e il debug, puoi chiamare il nostro endpoint di convalida tokeninfo.

Utilizzare una libreria client dell'API di Google

L'utilizzo della libreria client dell'API di Google Java è il metodo consigliato per convalidare i token ID Google in un ambiente di produzione.

Java

  import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
  import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload;
  import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;

  ...

  GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
      // Specify the CLIENT_ID of the app that accesses the backend:
      .setAudience(Collections.singletonList(CLIENT_ID))
      // Or, if multiple clients access the backend:
      //.setAudience(Arrays.asList(CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3))
      .build();

  // (Receive idTokenString by HTTPS POST)

  GoogleIdToken idToken = verifier.verify(idTokenString);
  if (idToken != null) {
    Payload payload = idToken.getPayload();

    // Print user identifier
    String userId = payload.getSubject();
    System.out.println("User ID: " + userId);

    // Get profile information from payload
    String email = payload.getEmail();
    boolean emailVerified = Boolean.valueOf(payload.getEmailVerified());
    String name = (String) payload.get("name");
    String pictureUrl = (String) payload.get("picture");
    String locale = (String) payload.get("locale");
    String familyName = (String) payload.get("family_name");
    String givenName = (String) payload.get("given_name");

    // Use or store profile information
    // ...

  } else {
    System.out.println("Invalid ID token.");
  }

Il metodo GoogleIdTokenVerifier.verify() verifica la firma JWT, la rivendicazione aud, la rivendicazione iss e le rivendicazioniexp.

Se devi verificare che il token ID rappresenti un account dell'organizzazione Google Workspace o Cloud, puoi verificare l'attestazione hd controllando il nome di dominio restituito con il metodo Payload.getHostedDomain().

Chiamata all'endpoint tokeninfo

Un modo semplice per convalidare la firma di un token ID per il debug consiste nell'utilizzare l'endpoint tokeninfo. La chiamata di questo endpoint comporta un'ulteriore richiesta di rete che esegue la maggior parte della convalida per te mentre testerai la convalida e l'estrazione del payload corrette nel tuo codice. Non è adatto all'uso nel codice di produzione poiché le richieste potrebbero essere limitate o comunque soggette a errori intermittenti.

Per convalidare un token ID utilizzando l'endpoint tokeninfo, effettua una richiesta HTTPS POST o GET all'endpoint e trasmetti il token ID nel parametro id_token. Ad esempio, per convalidare il token "XYZ123", effettua la seguente richiesta GET:

https://oauth2.googleapis.com/tokeninfo?id_token=XYZ123

Se il token è firmato correttamente e le attestazioni iss e exp hanno i valori previsti, riceverai una risposta HTTP 200, in cui il corpo contiene le rivendicazioni del token ID in formato JSON. Ecco un esempio di risposta:

{
 // These six fields are included in all Google ID Tokens.
 "iss": "https://accounts.google.com",
 "sub": "110169484474386276334",
 "azp": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
 "aud": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
 "iat": "1433978353",
 "exp": "1433981953",

 // These seven fields are only included when the user has granted the "profile" and
 // "email" OAuth scopes to the application.
 "email": "testuser@gmail.com",
 "email_verified": "true",
 "name" : "Test User",
 "picture": "https://lh4.googleusercontent.com/-kYgzyAWpZzJ/ABCDEFGHI/AAAJKLMNOP/tIXL9Ir44LE/s99-c/photo.jpg",
 "given_name": "Test",
 "family_name": "User",
 "locale": "en"
}

Avviso:una volta ricevute queste rivendicazioni, devi comunque verificare che la rivendicazione aud contenga uno degli ID client della tua app. In caso affermativo, il token è valido e destinato al client e puoi recuperare e utilizzare in sicurezza l'ID Google univoco dell'utente dalla rivendicazione sub.

Se devi verificare che il token ID rappresenti un account Google Workspace, puoi controllare la rivendicazione hd, che indica il dominio ospitato dell'utente. Deve essere utilizzata quando limiti l'accesso a una risorsa ai soli membri di determinati domini. L'assenza di questa rivendicazione indica che l'account non appartiene a un dominio ospitato su Google Workspace.