این صفحه به‌وسیله ‏Cloud Translation API‏ ترجمه شده است.

ورود به سیستم حساب پیوندی برای Android

ورود به سیستم حساب پیوندی، ورود با یک ضربه با Google را برای کاربرانی که از قبل حساب Google خود را به سرویس شما مرتبط کرده‌اند، فعال می‌کند. این تجربه را برای کاربران بهبود می بخشد زیرا آنها می توانند با یک کلیک بدون وارد کردن نام کاربری و رمز عبور خود وارد سیستم شوند. همچنین شانس ایجاد حساب های تکراری در سرویس شما توسط کاربران را کاهش می دهد.

ورود به حساب پیوندی به عنوان بخشی از جریان ورود به سیستم با یک ضربه برای Android در دسترس است. این بدان معنی است که اگر برنامه شما قبلاً ویژگی One Tap را فعال کرده باشد، نیازی به وارد کردن کتابخانه جداگانه ندارید.

در این سند، یاد خواهید گرفت که چگونه برنامه اندروید خود را برای پشتیبانی از ورود به حساب پیوندی تغییر دهید.

چگونه کار می کند

در طول جریان ورود به سیستم با یک ضربه، نمایش حساب‌های مرتبط را انتخاب می‌کنید.
اگر کاربر در Google وارد شده باشد و حساب Google خود را با حساب خود در سرویس شما پیوند داده باشد، یک رمز شناسه برای حساب پیوند شده بازگردانده می شود.
به کاربر یک درخواست ورود به سیستم با یک ضربه با گزینه ای برای ورود به سرویس شما با حساب مرتبط خود نشان داده می شود.
اگر کاربر بخواهد با حساب پیوند شده ادامه دهد، رمز شناسه کاربر به برنامه شما برگردانده می‌شود. شما این را با توکنی که در مرحله 2 برای شناسایی کاربر وارد شده به سرور شما ارسال شده است مطابقت دهید.

راه اندازی

محیط توسعه خود را تنظیم کنید

جدیدترین خدمات Google Play را در میزبان توسعه خود دریافت کنید:

Android SDK Manager را باز کنید.

در زیر ابزار SDK ، خدمات Google Play را پیدا کنید.
اگر وضعیت این بسته‌ها نصب نشده است، هر دو را انتخاب کنید و روی Install Packages کلیک کنید.

برنامه خود را پیکربندی کنید

در فایل build.gradle در سطح پروژه خود، مخزن Maven Google را در هر دو بخش buildscript و allprojects قرار دهید.
```
buildscript {
    repositories {
        google()
    }
}

allprojects {
    repositories {
        google()
    }
}
```
وابستگی‌های API "Link with Google" را به فایل gradle سطح برنامه ماژول خود اضافه کنید، که معمولا app/build.gradle است:
```
dependencies {
  implementation 'com.google.android.gms:play-services-auth:21.2.0'
}
```

برنامه Android خود را تغییر دهید تا از ورود به حساب پیوندی پشتیبانی کند

در پایان جریان ورود به حساب پیوندی، یک رمز شناسه به برنامه شما برگردانده می شود. یکپارچگی رمز شناسه باید قبل از ورود کاربر تأیید شود.

نمونه کد زیر مراحل بازیابی، تأیید کد شناسه و متعاقباً ورود کاربر را شرح می دهد.

یک فعالیت برای دریافت نتیجه هدف ورود به سیستم ایجاد کنید

کاتلین

  private val activityResultLauncher = registerForActivityResult(
    ActivityResultContracts.StartIntentSenderForResult()) { result ->
    if (result.resultCode == RESULT_OK) {
      try {
        val signInCredentials = Identity.signInClient(this)
                                .signInCredentialFromIntent(result.data)
        // Review the Verify the integrity of the ID token section for
        // details on how to verify the ID token
        verifyIdToken(signInCredential.googleIdToken)
      } catch (e: ApiException) {
        Log.e(TAG, "Sign-in failed with error code:", e)
      }
    } else {
      Log.e(TAG, "Sign-in failed")
    }
  }

جاوا

  private final ActivityResultLauncher<IntentSenderResult>
    activityResultLauncher = registerForActivityResult(
    new ActivityResultContracts.StartIntentSenderForResult(),
    result -> {
    If (result.getResultCode() == RESULT_OK) {
        try {
          SignInCredential signInCredential = Identity.getSignInClient(this)
                         .getSignInCredentialFromIntent(result.getData());
          verifyIdToken(signInCredential.getGoogleIdToken());
        } catch (e: ApiException ) {
          Log.e(TAG, "Sign-in failed with error:", e)
        }
    } else {
        Log.e(TAG, "Sign-in failed")
    }
});

درخواست ثبت نام را بسازید

کاتلین

private val tokenRequestOptions =
GoogleIdTokenRequestOptions.Builder()
  .supported(true)
  // Your server's client ID, not your Android client ID.
  .serverClientId(getString("your-server-client-id")
  .filterByAuthorizedAccounts(true)
  .associateLinkedAccounts("service-id-of-and-defined-by-developer",
                           scopes)
  .build()

جاوا

 private final GoogleIdTokenRequestOptions tokenRequestOptions =
     GoogleIdTokenRequestOptions.Builder()
  .setSupported(true)
  .setServerClientId("your-service-client-id")
  .setFilterByAuthorizedAccounts(true)
  .associateLinkedAccounts("service-id-of-and-defined-by-developer",
                            scopes)
  .build()

Sign-In Pending intent را اجرا کنید

کاتلین

 Identity.signInClient(this)
    .beginSignIn(
  BeginSignInRequest.Builder()
    .googleIdTokenRequestOptions(tokenRequestOptions)
  .build())
    .addOnSuccessListener{result ->
      activityResultLauncher.launch(result.pendingIntent.intentSender)
  }
  .addOnFailureListener {e ->
    Log.e(TAG, "Sign-in failed because:", e)
  }

جاوا

 Identity.getSignInClient(this)
  .beginSignIn(
    BeginSignInRequest.Builder()
      .setGoogleIdTokenRequestOptions(tokenRequestOptions)
      .build())
  .addOnSuccessListener(result -> {
    activityResultLauncher.launch(
        result.getPendingIntent().getIntentSender());
})
.addOnFailureListener(e -> {
  Log.e(TAG, "Sign-in failed because:", e);
});

یکپارچگی شناسه رمز را بررسی کنید

برای تأیید معتبر بودن توکن، اطمینان حاصل کنید که معیارهای زیر برآورده می شوند:

رمز شناسه به درستی توسط گوگل امضا شده است. از کلیدهای عمومی Google (در قالب JWK یا PEM موجود است) برای تأیید امضای توکن استفاده کنید. این کلیدها به طور منظم چرخانده می شوند. هدر Cache-Control را در پاسخ بررسی کنید تا مشخص کنید چه زمانی باید دوباره آنها را بازیابی کنید.
مقدار aud در کد ID برابر با یکی از شناسه های مشتری برنامه شما است. این بررسی برای جلوگیری از استفاده از کدهای شناسه صادر شده برای یک برنامه مخرب برای دسترسی به داده‌های مربوط به همان کاربر در سرور پشتیبان برنامه شما ضروری است.
مقدار iss در کد شناسه برابر با accounts.google.com یا https://accounts.google.com است.
زمان انقضا ( exp ) شناسه توکن سپری نشده است.
اگر باید تأیید کنید که رمز شناسه یک حساب سازمانی Google Workspace یا Cloud را نشان می‌دهد، می‌توانید ادعای hd را بررسی کنید، که دامنه میزبانی کاربر را نشان می‌دهد. این باید زمانی استفاده شود که دسترسی به یک منبع را فقط به اعضای دامنه های خاص محدود می کند. عدم وجود این ادعا نشان می دهد که این حساب متعلق به دامنه میزبان گوگل نیست.

با استفاده از فیلدهای email ، email_verified و hd ، می‌توانید تعیین کنید که آیا Google میزبان آدرس ایمیل است یا خیر. در مواردی که Google معتبر است، کاربر به عنوان مالک قانونی حساب شناخته می‌شود و ممکن است از رمز عبور یا سایر روش‌های چالش صرفنظر کنید.

مواردی که گوگل معتبر است:

email دارای پسوند @gmail.com است، این یک حساب کاربری جیمیل است.
email_verified درست است و hd تنظیم شده است، این یک حساب G Suite است.

کاربران می توانند بدون استفاده از Gmail یا G Suite برای حساب های Google ثبت نام کنند. وقتی email حاوی پسوند @gmail.com نیست و hd وجود ندارد، گوگل معتبر نیست و رمز عبور یا روش‌های چالش دیگری برای تأیید کاربر توصیه می‌شود. email_verified همچنین می تواند درست باشد زیرا Google در ابتدا کاربر را هنگام ایجاد حساب Google تأیید کرد، اما مالکیت حساب ایمیل شخص ثالث ممکن است از آن زمان تغییر کرده باشد.

به جای نوشتن کد خود برای انجام این مراحل تأیید، ما قویاً توصیه می‌کنیم از کتابخانه سرویس گیرنده Google API برای پلتفرم خود یا یک کتابخانه JWT همه منظوره استفاده کنید. برای توسعه و اشکال‌زدایی، می‌توانید با نقطه پایانی اعتبارسنجی tokeninfo ما تماس بگیرید.

از کتابخانه سرویس گیرنده Google API استفاده کنید

استفاده از Java Google API Client Library روشی توصیه شده برای تایید اعتبار توکن های Google ID در محیط تولید است.

جاوا

  import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
  import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload;
  import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;

  ...

  GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
      // Specify the CLIENT_ID of the app that accesses the backend:
      .setAudience(Collections.singletonList(CLIENT_ID))
      // Or, if multiple clients access the backend:
      //.setAudience(Arrays.asList(CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3))
      .build();

  // (Receive idTokenString by HTTPS POST)

  GoogleIdToken idToken = verifier.verify(idTokenString);
  if (idToken != null) {
    Payload payload = idToken.getPayload();

    // Print user identifier
    String userId = payload.getSubject();
    System.out.println("User ID: " + userId);

    // Get profile information from payload
    String email = payload.getEmail();
    boolean emailVerified = Boolean.valueOf(payload.getEmailVerified());
    String name = (String) payload.get("name");
    String pictureUrl = (String) payload.get("picture");
    String locale = (String) payload.get("locale");
    String familyName = (String) payload.get("family_name");
    String givenName = (String) payload.get("given_name");

    // Use or store profile information
    // ...

  } else {
    System.out.println("Invalid ID token.");
  }

متد GoogleIdTokenVerifier.verify() امضای JWT، ادعای aud ، ادعای iss و exp آنها را تأیید می‌کند.

اگر باید تأیید کنید که رمز شناسه یک حساب سازمانی Google Workspace یا Cloud را نشان می‌دهد، می‌توانید با بررسی نام دامنه بازگردانده شده با روش Payload.getHostedDomain() ادعای hd را تأیید کنید.

تماس با نقطه پایانی tokeninfo

یک راه آسان برای تأیید اعتبار امضای رمز شناسه برای اشکال‌زدایی ، استفاده از نقطه پایانی tokeninfo است. فراخوانی این نقطه پایانی شامل یک درخواست شبکه اضافی است که بیشتر اعتبارسنجی را برای شما انجام می دهد، در حالی که شما اعتبارسنجی مناسب و استخراج محموله را در کد خود آزمایش می کنید. برای استفاده در کد تولید مناسب نیست زیرا ممکن است درخواست‌ها کاهش یابد یا در معرض خطاهای متناوب قرار گیرند.

برای تأیید اعتبار یک نشانه شناسه با استفاده از نقطه پایانی tokeninfo ، یک درخواست HTTPS POST یا GET به نقطه پایانی ارسال کنید و رمز ID خود را در پارامتر id_token ارسال کنید. به عنوان مثال، برای تأیید اعتبار رمز XYZ123، درخواست GET زیر را انجام دهید:

https://oauth2.googleapis.com/tokeninfo?id_token=XYZ123

اگر توکن به درستی امضا شده باشد و ادعاهای iss و exp مقادیر مورد انتظار را داشته باشند، یک پاسخ HTTP 200 دریافت خواهید کرد که در آن بدنه شامل ادعاهای رمز ID با فرمت JSON است. در اینجا یک نمونه پاسخ آمده است:

{
 // These six fields are included in all Google ID Tokens.
 "iss": "https://accounts.google.com",
 "sub": "110169484474386276334",
 "azp": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
 "aud": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
 "iat": "1433978353",
 "exp": "1433981953",

 // These seven fields are only included when the user has granted the "profile" and
 // "email" OAuth scopes to the application.
 "email": "testuser@gmail.com",
 "email_verified": "true",
 "name" : "Test User",
 "picture": "https://lh4.googleusercontent.com/-kYgzyAWpZzJ/ABCDEFGHI/AAAJKLMNOP/tIXL9Ir44LE/s99-c/photo.jpg",
 "given_name": "Test",
 "family_name": "User",
 "locale": "en"
}

هشدار: پس از دریافت این ادعاها، همچنان باید بررسی کنید که ادعای aud حاوی یکی از شناسه های مشتری برنامه شما باشد. اگر اینطور باشد، رمز هم معتبر است و هم برای مشتری شما در نظر گرفته شده است، و می توانید با خیال راحت شناسه گوگل منحصر به فرد کاربر را از ادعای sub بازیابی و استفاده کنید.

اگر باید تأیید کنید که رمز ID نشان دهنده یک حساب Google Workspace است، می توانید ادعای hd را بررسی کنید که دامنه میزبانی کاربر را نشان می دهد. این باید زمانی استفاده شود که دسترسی به یک منبع را فقط به اعضای دامنه های خاص محدود می کند. عدم وجود این ادعا نشان می‌دهد که این حساب متعلق به دامنه میزبان Google Workspace نیست.