Android डिवाइस के लिए लिंक किए गए खाते से साइन इन करना

लिंक किए गए खाते से साइन इन करने की सुविधा, उन उपयोगकर्ताओं के लिए Google से एक टैप में साइन इन की सुविधा चालू करती है जिनका Google खाता पहले से ही आपकी सेवा से लिंक है. इससे उपयोगकर्ताओं को एक ही बार में साइन इन करने का बेहतरीन अनुभव मिलेगा. इसके लिए, उन्हें दोबारा लॉगिन करने की ज़रूरत नहीं पड़ेगी उपयोगकर्ता नाम और पासवर्ड डालें. इससे उपयोगकर्ताओं के, पर डुप्लीकेट खाते लिंक हैं.

लिंक किए गए खाते से साइन-इन करने की सुविधा, इन खातों के लिए एक टैप में साइन इन करने के फ़्लो के हिस्से के तौर पर उपलब्ध है: Android. इसका मतलब है कि अगर आपका ऐप्लिकेशन पहले से ही One Tap की सुविधा चालू है.

इस दस्तावेज़ में, आपको जानकारी मिलेगी कि सहायता करने के लिए अपने Android ऐप्लिकेशन में बदलाव कैसे करें लिंक किए गए खाते से साइन इन करना.

यह कैसे काम करता है

  1. आपने एक टैप में साइन इन फ़्लो के दौरान, लिंक किए गए खातों को दिखाने के लिए ऑप्ट इन किया है.
  2. अगर उपयोगकर्ता ने Google में साइन इन किया है और अपने Google खाते को आपके खाते को लिंक करने के लिए, आपको लिंक किए गए खाते के लिए एक आईडी टोकन जोड़ें.
  3. उपयोगकर्ता को One Tap की मदद से साइन-इन करने का अनुरोध दिखाया जाता है. इसमें उसे साइन इन करने का विकल्प भी दिया जाता है: लिंक किए गए खाते से नहीं जोड़ा जा सकता.
  4. अगर उपयोगकर्ता, लिंक किए गए खाते का इस्तेमाल जारी रखता है, तो उपयोगकर्ता का आईडी टोकन आपके ऐप्लिकेशन पर वापस लौटा दिया जाता है. आप इसका मिलान आपके दूसरे चरण में सर्वर का इस्तेमाल किया जा सकता है.

सेटअप

अपना डेवलपमेंट एनवायरमेंट सेट अप करें

अपने डेवलपमेंट होस्ट पर नई Google Play सेवाएं पाएं:

  1. खोलें Android SDK मैनेजर.
  1. SDK टूल में जाकर, Google Play services ढूंढें.

  2. अगर इन पैकेज का स्टेटस 'इंस्टॉल किया गया' नहीं है, तो दोनों पैकेज चुनें और पैकेज इंस्टॉल करें पर क्लिक करें.

अपना ऐप्लिकेशन कॉन्फ़िगर करें

  1. प्रोजेक्ट-लेवल की build.gradle फ़ाइल में, Google की Maven रिपॉज़िटरी शामिल करें आपके buildscript और allprojects, दोनों सेक्शन में.

    buildscript {
        repositories {
            google()
        }
    }
    
    allprojects {
        repositories {
            google()
        }
    }
    
  2. "Google से लिंक करें" के लिए डिपेंडेंसी जोड़ें एपीआई को आपके मॉड्यूल के ऐप्लिकेशन-लेवल की Gradle फ़ाइल, जो आम तौर पर app/build.gradle होती है:

    dependencies {
      implementation 'com.google.android.gms:play-services-auth:21.2.0'
    }
    

लिंक किए गए खाते में साइन इन करने की सुविधा के लिए, अपने Android ऐप्लिकेशन में बदलाव करना

लिंक किए गए खाते के साइन इन फ़्लो के खत्म होने पर, एक आईडी टोकन आपके है. उपयोगकर्ता साइन इन करने से पहले, आईडी टोकन के रखरखाव की पुष्टि की जानी चाहिए.

नीचे दिए गए कोड सैंपल में, डेटा वापस पाने के चरणों के बारे में बताया गया है, आईडी टोकन की पुष्टि करें और इसके बाद उपयोगकर्ता को साइन इन करने देता है.

  1. साइन-इन इंटेंट का नतीजा पाने के लिए गतिविधि बनाएं

    Kotlin

      private val activityResultLauncher = registerForActivityResult(
        ActivityResultContracts.StartIntentSenderForResult()) { result ->
        if (result.resultCode == RESULT_OK) {
          try {
            val signInCredentials = Identity.signInClient(this)
                                    .signInCredentialFromIntent(result.data)
            // Review the Verify the integrity of the ID token section for
            // details on how to verify the ID token
            verifyIdToken(signInCredential.googleIdToken)
          } catch (e: ApiException) {
            Log.e(TAG, "Sign-in failed with error code:", e)
          }
        } else {
          Log.e(TAG, "Sign-in failed")
        }
      }
    

    Java

      private final ActivityResultLauncher<IntentSenderResult>
        activityResultLauncher = registerForActivityResult(
        new ActivityResultContracts.StartIntentSenderForResult(),
        result -> {
        If (result.getResultCode() == RESULT_OK) {
            try {
              SignInCredential signInCredential = Identity.getSignInClient(this)
                             .getSignInCredentialFromIntent(result.getData());
              verifyIdToken(signInCredential.getGoogleIdToken());
            } catch (e: ApiException ) {
              Log.e(TAG, "Sign-in failed with error:", e)
            }
        } else {
            Log.e(TAG, "Sign-in failed")
        }
    });
    
  2. साइन इन करने का अनुरोध तैयार करें

    Kotlin

    private val tokenRequestOptions =
    GoogleIdTokenRequestOptions.Builder()
      .supported(true)
      // Your server's client ID, not your Android client ID.
      .serverClientId(getString("your-server-client-id")
      .filterByAuthorizedAccounts(true)
      .associateLinkedAccounts("service-id-of-and-defined-by-developer",
                               scopes)
      .build()
    

    Java

     private final GoogleIdTokenRequestOptions tokenRequestOptions =
         GoogleIdTokenRequestOptions.Builder()
      .setSupported(true)
      .setServerClientId("your-service-client-id")
      .setFilterByAuthorizedAccounts(true)
      .associateLinkedAccounts("service-id-of-and-defined-by-developer",
                                scopes)
      .build()
    
  3. साइन-इन पेंडिंग इंटेंट लॉन्च करना

    Kotlin

     Identity.signInClient(this)
        .beginSignIn(
      BeginSignInRequest.Builder()
        .googleIdTokenRequestOptions(tokenRequestOptions)
      .build())
        .addOnSuccessListener{result ->
          activityResultLauncher.launch(result.pendingIntent.intentSender)
      }
      .addOnFailureListener {e ->
        Log.e(TAG, "Sign-in failed because:", e)
      }
    

    Java

     Identity.getSignInClient(this)
      .beginSignIn(
        BeginSignInRequest.Builder()
          .setGoogleIdTokenRequestOptions(tokenRequestOptions)
          .build())
      .addOnSuccessListener(result -> {
        activityResultLauncher.launch(
            result.getPendingIntent().getIntentSender());
    })
    .addOnFailureListener(e -> {
      Log.e(TAG, "Sign-in failed because:", e);
    });
    

पुष्टि करें कि आईडी टोकन भरोसेमंद है या नहीं

टोकन मान्य है, इसकी पुष्टि करने के लिए, पक्का करें कि: शर्तें पूरी की हैं:

  • Google ने आईडी टोकन पर सही तरीके से हस्ताक्षर किया है. Google की सार्वजनिक कुंजियों का इस्तेमाल करें (इसमें उपलब्ध है JWK या PEM फ़ॉर्मैट) टोकन के हस्ताक्षर की पुष्टि करने के लिए. ये बटन नियमित रूप से घुमाए जाते हैं; जांच करें जवाब में Cache-Control हेडर, ताकि यह तय किया जा सके कि कब तो आपको उन्हें फिर से वापस लाना होगा.
  • आईडी टोकन में aud की वैल्यू, आपके ऐप्लिकेशन की वैल्यू के बराबर है क्लाइंट आईडी. नुकसान पहुंचाने वाले मैलवेयर को जारी किए गए आईडी टोकन को रोकने के लिए यह जांच करना ज़रूरी है ऐप्लिकेशन का इस्तेमाल, आपके ऐप्लिकेशन के बैकएंड सर्वर पर उसी उपयोगकर्ता का डेटा ऐक्सेस करने के लिए किया जा रहा हो.
  • आईडी टोकन में iss की वैल्यू इसके बराबर है accounts.google.com या https://accounts.google.com.
  • आईडी टोकन की समयसीमा खत्म होने का समय (exp) नहीं हुआ है.
  • अगर आपको इस बात की पुष्टि करनी है कि आईडी टोकन, Google Workspace या Cloud से जुड़ा है या नहीं तो आप hd दावे की जांच कर सकते हैं. इससे पता चलता है कि उपयोगकर्ता के डोमेन के साथ काम करता है. इसका इस्तेमाल तब किया जाना चाहिए, जब किसी संसाधन का ऐक्सेस सिर्फ़ इसके सदस्यों तक सीमित रखा गया हो कुछ डोमेन. इस दावे के मौजूद न होने का मतलब है कि यह खाता किसी Google की ओर से होस्ट किया गया डोमेन.

email, email_verified, और hd फ़ील्ड का इस्तेमाल करके, यह पता लगाया जा सकता है कि ईमेल पते को Google होस्ट करता है और आधिकारिक तौर पर उपलब्ध कराता है. ऐसे मामलों में जहां Google आधिकारिक है, वह उपयोगकर्ता उस खाते का वैध स्वामी है और आप पासवर्ड या अन्य विकल्प चैलेंज के तरीके.

ऐसे मामले, जिनमें Google आधिकारिक जानकारी देता है:

  • email में @gmail.com सफ़िक्स लगा है. यह Gmail खाता है.
  • email_verified सही है और hd सेट है, यह एक G Suite खाता है.

उपयोगकर्ता, Gmail या G Suite का इस्तेमाल किए बिना Google खातों के लिए रजिस्टर कर सकते हैं. टास्क कब शुरू होगा email में @gmail.com सफ़िक्स नहीं है और hd मौजूद नहीं है, Google पुष्टि करने के लिए, भरोसेमंद और पासवर्ड या अन्य चैलेंज वाले तरीकों का इस्तेमाल करने का सुझाव दिया जाता है उपयोगकर्ता है. email_verified भी सही हो सकती है, क्योंकि Google ने शुरुआत में Google खाता बनाए जाने के समय उपयोगकर्ता, हालांकि तीसरे पक्ष का मालिकाना हक शायद उसके बाद ईमेल खाता बदल गया है.

पुष्टि करने के इन चरणों को पूरा करने के लिए, अपना कोड लिखने के बजाय हम इस बात पर ज़ोर देते हैं अपने प्लैटफ़ॉर्म या किसी सामान्य मक़सद के लिए, Google API क्लाइंट लाइब्रेरी का इस्तेमाल करने का सुझाव दिया जाता है JWT लाइब्रेरी. डेवलपमेंट और डीबग करने के लिए, हमारे tokeninfo पर कॉल करें पुष्टि करने वाला एंडपॉइंट.

Google API क्लाइंट लाइब्रेरी का इस्तेमाल करना

इसका उपयोग करके Java Google API क्लाइंट लाइब्रेरी प्रोडक्शन एनवायरमेंट में Google आईडी टोकन की पुष्टि करने का सुझाया गया तरीका है.

Java

  import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
  import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload;
  import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;

  ...

  GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
      // Specify the CLIENT_ID of the app that accesses the backend:
      .setAudience(Collections.singletonList(CLIENT_ID))
      // Or, if multiple clients access the backend:
      //.setAudience(Arrays.asList(CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3))
      .build();

  // (Receive idTokenString by HTTPS POST)

  GoogleIdToken idToken = verifier.verify(idTokenString);
  if (idToken != null) {
    Payload payload = idToken.getPayload();

    // Print user identifier
    String userId = payload.getSubject();
    System.out.println("User ID: " + userId);

    // Get profile information from payload
    String email = payload.getEmail();
    boolean emailVerified = Boolean.valueOf(payload.getEmailVerified());
    String name = (String) payload.get("name");
    String pictureUrl = (String) payload.get("picture");
    String locale = (String) payload.get("locale");
    String familyName = (String) payload.get("family_name");
    String givenName = (String) payload.get("given_name");

    // Use or store profile information
    // ...

  } else {
    System.out.println("Invalid ID token.");
  }

GoogleIdTokenVerifier.verify() तरीका, JWT हस्ताक्षर की पुष्टि करता है aud दावा, iss दावा, और उनकाexp दावा.

अगर आपको इस बात की पुष्टि करनी है कि आईडी टोकन, Google Workspace या Cloud से जुड़ा है या नहीं तो आप डोमेन नेम की जांच करके hd दावे की पुष्टि कर सकते हैं Payload.getHostedDomain() तरीके से दिखाया जाता है.

टोकनइन्फ़ो एंडपॉइंट को कॉल किया जा रहा है

डीबग करने के लिए, आईडी टोकन सिग्नेचर की पुष्टि करने का आसान तरीका यह है कि tokeninfo एंडपॉइंट का इस्तेमाल करें. इस एंडपॉइंट पर कॉल करने में एक अतिरिक्त नेटवर्क अनुरोध, जो सही टेस्ट किए जाने के दौरान, आपके लिए ज़्यादातर पुष्टि करता है की पुष्टि करने और पेलोड एक्सट्रैक्शन को जोड़ने का तरीका बताएंगे. यह प्रोडक्शन में इस्तेमाल करने के लिए सही नहीं है कोड, क्योंकि अनुरोधों को थ्रॉटल किया जा सकता है या दूसरी तरह से समय-समय पर गड़बड़ियां हो सकती हैं.

tokeninfo एंडपॉइंट का इस्तेमाल करके, आईडी टोकन की पुष्टि करने के लिए एचटीटीपीएस बनाएं एंडपॉइंट पर पीओएसटी या जीईटी अनुरोध भेजें और अपना आईडी टोकन id_token पैरामीटर. उदाहरण के लिए, टोकन "XYZ123" की पुष्टि करने के लिए, नीचे दिया गया GET अनुरोध करें:

https://oauth2.googleapis.com/tokeninfo?id_token=XYZ123

अगर टोकन को सही तरीके से साइन किया गया है और iss और exp दावों के लिए अपेक्षित मान हैं, तो आपको एक HTTP 200 प्रतिक्रिया मिलेगी, जहां का मुख्य भाग JSON के फ़ॉर्मैट किए गए आईडी टोकन के दावे शामिल हैं. यहां जवाब का एक उदाहरण दिया गया है:

{
 // These six fields are included in all Google ID Tokens.
 "iss": "https://accounts.google.com",
 "sub": "110169484474386276334",
 "azp": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
 "aud": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
 "iat": "1433978353",
 "exp": "1433981953",

 // These seven fields are only included when the user has granted the "profile" and
 // "email" OAuth scopes to the application.
 "email": "testuser@gmail.com",
 "email_verified": "true",
 "name" : "Test User",
 "picture": "https://lh4.googleusercontent.com/-kYgzyAWpZzJ/ABCDEFGHI/AAAJKLMNOP/tIXL9Ir44LE/s99-c/photo.jpg",
 "given_name": "Test",
 "family_name": "User",
 "locale": "en"
}
अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है

अगर आपको इस बात की पुष्टि करनी है कि आईडी टोकन, Google Workspace खाते का इस्तेमाल करता है या नहीं, तो hd दावा, जो उपयोगकर्ता के होस्ट किए गए डोमेन के बारे में बताता है. इसका इस्तेमाल तब करें, जब किसी संसाधन के ऐक्सेस को सिर्फ़ कुछ डोमेन के सदस्यों के लिए प्रतिबंधित करना. इस दावे का न होना इससे पता चलता है कि खाता, Google Workspace के होस्ट किए गए डोमेन से नहीं जुड़ा है.