लिंक किए गए खाते में साइन-इन करने की सुविधा, उन उपयोगकर्ताओं को एक टैप से Google से साइन इन करें सुविधा की सुविधा देती है जिनका Google खाता पहले से ही आपकी सेवा से लिंक है. इससे उपयोगकर्ताओं के अनुभव को बेहतर बनाने में मदद मिलती है, क्योंकि वे अपना उपयोगकर्ता नाम और पासवर्ड दोबारा डाले बिना, सिर्फ़ एक क्लिक से साइन इन कर सकते हैं. इससे आपकी सेवा पर, उपयोगकर्ता के डुप्लीकेट खाते बनाने की संभावना भी कम हो जाती है.
लिंक किए गए खाते में साइन-इन करने की सुविधा, Android के लिए एक टैप साइन-इन फ़्लो के हिस्से के तौर पर उपलब्ध है. इसका मतलब है कि अगर आपके ऐप्लिकेशन में One Tap की सुविधा पहले से ही चालू है, तो आपको अलग से लाइब्रेरी इंपोर्ट करने की ज़रूरत नहीं है.
इस दस्तावेज़ में, लिंक किए गए खाते में साइन-इन करने की सुविधा के लिए अपने Android ऐप्लिकेशन में बदलाव करने का तरीका बताया गया है.
यह कैसे काम करता है
- आपने One Tap साइन-इन फ़्लो के दौरान, लिंक किए गए खाते दिखाने के लिए ऑप्ट इन किया है.
- अगर उपयोगकर्ता ने Google में साइन इन किया है और उसने अपने Google खाते को आपकी सेवा के लिए इस्तेमाल किए जाने वाले खाते से लिंक किया है, तो जोड़े गए खाते के लिए आईडी टोकन दिया जाएगा.
- उपयोगकर्ता को One Tap की सुविधा से साइन इन करने का अनुरोध दिखाया जाता है. इसमें, उसके लिंक किए गए खाते से आपकी सेवा में साइन इन करने का विकल्प होता है.
- अगर उपयोगकर्ता जोड़े गए खाते का इस्तेमाल जारी रखना चुनता है, तो उपयोगकर्ता का आईडी टोकन आपके ऐप्लिकेशन को वापस कर दिया जाता है. इसका मिलान, उस टोकन से किया जाता है जो दूसरे चरण में आपके सर्वर पर भेजे गए टोकन से मिला था. इस टोकन की मदद से, उस उपयोगकर्ता की पहचान की जाती है जिसने लॉग इन किया हुआ है.
सेटअप
डेवलपमेंट एनवायरमेंट सेट अप करना
अपने डेवलपमेंट होस्ट पर सबसे नई Google Play सेवाएं पाएं:
- Android SDK Manager खोलें.
SDK टूल में जाकर, Google Play services पर जाएं.
अगर इन पैकेज की स्थिति इंस्टॉल नहीं है, तो दोनों को चुनें और पैकेज इंस्टॉल करें पर क्लिक करें.
अपने ऐप्लिकेशन को कॉन्फ़िगर करें
अपने प्रोजेक्ट-लेवल की
build.gradleफ़ाइल में, अपनेbuildscriptऔरallprojects, दोनों सेक्शन में Google की Maven रिपॉज़िटरी शामिल करें.buildscript { repositories { google() } } allprojects { repositories { google() } }अपने मॉड्यूल की ऐप्लिकेशन-लेवल की ग्रेडल फ़ाइल में, "Google से लिंक करें" एपीआई के लिए डिपेंडेंसी जोड़ें. आम तौर पर, यह
app/build.gradleहोती है:dependencies { implementation 'com.google.android.gms:play-services-auth:21.0.0' }
लिंक किए गए खाते से साइन-इन करने की सुविधा देने के लिए, अपने Android ऐप्लिकेशन में बदलाव करें
लिंक किए गए खाते के साइन-इन फ़्लो के आखिर में, आपके ऐप्लिकेशन पर एक आईडी टोकन वापस आता है. उपयोगकर्ता को साइन इन करने से पहले, आईडी टोकन के इंटिग्रिटी की पुष्टि की जानी चाहिए.
नीचे दिए गए कोड सैंपल में, वापस पाने, आईडी टोकन की पुष्टि करने, और बाद में उपयोगकर्ता को साइन इन करने का तरीका बताया गया है.
साइन इन करने के इंटेंट का नतीजा पाने के लिए, कोई गतिविधि बनाएं
Kotlin
private val activityResultLauncher = registerForActivityResult( ActivityResultContracts.StartIntentSenderForResult()) { result -> if (result.resultCode == RESULT_OK) { try { val signInCredentials = Identity.signInClient(this) .signInCredentialFromIntent(result.data) // Review the Verify the integrity of the ID token section for // details on how to verify the ID token verifyIdToken(signInCredential.googleIdToken) } catch (e: ApiException) { Log.e(TAG, "Sign-in failed with error code:", e) } } else { Log.e(TAG, "Sign-in failed") } }Java
private final ActivityResultLauncher<IntentSenderResult> activityResultLauncher = registerForActivityResult( new ActivityResultContracts.StartIntentSenderForResult(), result -> { If (result.getResultCode() == RESULT_OK) { try { SignInCredential signInCredential = Identity.getSignInClient(this) .getSignInCredentialFromIntent(result.getData()); verifyIdToken(signInCredential.getGoogleIdToken()); } catch (e: ApiException ) { Log.e(TAG, "Sign-in failed with error:", e) } } else { Log.e(TAG, "Sign-in failed") } });साइन इन करने के लिए अनुरोध करें
Kotlin
private val tokenRequestOptions = GoogleIdTokenRequestOptions.Builder() .supported(true) // Your server's client ID, not your Android client ID. .serverClientId(getString("your-server-client-id") .filterByAuthorizedAccounts(true) .associateLinkedAccounts("service-id-of-and-defined-by-developer", scopes) .build()Java
private final GoogleIdTokenRequestOptions tokenRequestOptions = GoogleIdTokenRequestOptions.Builder() .setSupported(true) .setServerClientId("your-service-client-id") .setFilterByAuthorizedAccounts(true) .associateLinkedAccounts("service-id-of-and-defined-by-developer", scopes) .build()साइन-इन लंबित इंटेंट लॉन्च करें
Kotlin
Identity.signInClient(this) .beginSignIn( BeginSignInRequest.Builder() .googleIdTokenRequestOptions(tokenRequestOptions) .build()) .addOnSuccessListener{result -> activityResultLauncher.launch(result.pendingIntent.intentSender) } .addOnFailureListener {e -> Log.e(TAG, "Sign-in failed because:", e) }Java
Identity.getSignInClient(this) .beginSignIn( BeginSignInRequest.Builder() .setGoogleIdTokenRequestOptions(tokenRequestOptions) .build()) .addOnSuccessListener(result -> { activityResultLauncher.launch( result.getPendingIntent().getIntentSender()); }) .addOnFailureListener(e -> { Log.e(TAG, "Sign-in failed because:", e); });
पुष्टि करना कि आईडी टोकन सही है या नहीं
टोकन मान्य है या नहीं, इसकी पुष्टि करने के लिए पक्का करें कि नीचे दी गई शर्तों को पूरा किया गया हो:
- Google ने आईडी टोकन पर सही तरीके से हस्ताक्षर किया है. टोकन के हस्ताक्षर की पुष्टि करने के लिए, Google की सार्वजनिक कुंजियों
(JWK या
PEM फ़ॉर्मैट में उपलब्ध)
का इस्तेमाल करें. इन कुंजियों को नियमित तौर पर घुमाया जाता है. जवाब में
Cache-Controlहेडर की जांच करके, यह तय करें कि आपको उन्हें फिर से कब वापस पाना चाहिए. - आईडी टोकन में
audकी वैल्यू आपके ऐप्लिकेशन के किसी क्लाइंट आईडी के बराबर है. यह जांच इसलिए ज़रूरी है, ताकि किसी नुकसान पहुंचाने वाले ऐप्लिकेशन को जारी किए गए आईडी टोकन, आपके ऐप्लिकेशन के बैकएंड सर्वर पर, उसी उपयोगकर्ता का डेटा ऐक्सेस करने के लिए इस्तेमाल न किए जा सकें. - आईडी टोकन में
issकी वैल्यूaccounts.google.comयाhttps://accounts.google.comके बराबर है. - आईडी टोकन की समयसीमा (
exp) खत्म नहीं हुई है. - अगर आपको इस बात की पुष्टि करनी है कि आईडी टोकन, Google Workspace या Cloud
संगठन के खाते के बारे में बताता है, तो
hdदावा देखें. इससे पता चलता है कि उपयोगकर्ता का होस्ट किया गया डोमेन क्या है. किसी संसाधन के ऐक्सेस को सिर्फ़ कुछ डोमेन के सदस्यों को सीमित करते समय इसका इस्तेमाल करना चाहिए. यह दावा मौजूद न होने का मतलब है कि यह खाता, Google के होस्ट किए गए डोमेन से नहीं जुड़ा है.
पुष्टि करने के इन चरणों को पूरा करने के लिए खुद का कोड लिखने के बजाय, हमारा सुझाव है कि आप अपने प्लैटफ़ॉर्म के लिए, Google API क्लाइंट लाइब्रेरी या अलग-अलग कामों के लिए इस्तेमाल की जाने वाली JWT लाइब्रेरी इस्तेमाल करें. डेवलपमेंट और डीबग करने के लिए, हमारे tokeninfo
वैलिडेशन एंडपॉइंट को कॉल किया जा सकता है.
Google API क्लाइंट लाइब्रेरी का इस्तेमाल करना
प्रोडक्शन एनवायरमेंट में Google आईडी टोकन की पुष्टि करने के लिए, Java Google API क्लाइंट लाइब्रेरी का इस्तेमाल करना एक सुझाया गया तरीका है.
Java
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;
...
GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
// Specify the CLIENT_ID of the app that accesses the backend:
.setAudience(Collections.singletonList(CLIENT_ID))
// Or, if multiple clients access the backend:
//.setAudience(Arrays.asList(CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3))
.build();
// (Receive idTokenString by HTTPS POST)
GoogleIdToken idToken = verifier.verify(idTokenString);
if (idToken != null) {
Payload payload = idToken.getPayload();
// Print user identifier
String userId = payload.getSubject();
System.out.println("User ID: " + userId);
// Get profile information from payload
String email = payload.getEmail();
boolean emailVerified = Boolean.valueOf(payload.getEmailVerified());
String name = (String) payload.get("name");
String pictureUrl = (String) payload.get("picture");
String locale = (String) payload.get("locale");
String familyName = (String) payload.get("family_name");
String givenName = (String) payload.get("given_name");
// Use or store profile information
// ...
} else {
System.out.println("Invalid ID token.");
}
GoogleIdTokenVerifier.verify() वाला तरीका, JWT हस्ताक्षर, aud दावे, iss दावे, और उनकेexp दावे की पुष्टि करता है.
अगर आपको यह पुष्टि करनी है कि आईडी टोकन से Google Workspace या Cloud संगठन के खाते की जानकारी मिलती है, तो hd दावे की पुष्टि की जा सकती है. इसके लिए, Payload.getHostedDomain() तरीके से दिखाए गए डोमेन नेम की जांच करें.
टोकन जानकारी एंडपॉइंट को कॉल करना
डीबगिंग के लिए, आईडी टोकन सिग्नेचर की पुष्टि करने का एक आसान तरीका
tokeninfo एंडपॉइंट का इस्तेमाल करना है. इस एंडपॉइंट को कॉल करने के लिए एक और नेटवर्क अनुरोध शामिल होता है. इससे अपने कोड में सही तरीके से पुष्टि करने और पेलोड निकालने
की जांच करने के दौरान, पुष्टि का ज़्यादातर काम किया जाता है. यह प्रोडक्शन कोड में इस्तेमाल करने के लिए सही नहीं है, क्योंकि अनुरोधों को रोका जा सकता है या कभी-कभी गड़बड़ियां भी हो सकती हैं.
tokeninfo एंडपॉइंट का इस्तेमाल करके, किसी आईडी टोकन की पुष्टि करने के लिए, एंडपॉइंट पर एचटीटीपीएस POST या GET अनुरोध भेजें और id_token पैरामीटर में अपना आईडी टोकन पास करें.
उदाहरण के लिए, "XYZ123" टोकन की पुष्टि करने के लिए, यह GET अनुरोध करें:
https://oauth2.googleapis.com/tokeninfo?id_token=XYZ123
अगर टोकन सही तरीके से साइन किया गया है और iss और exp के दावों में अनुमानित वैल्यू हैं, तो आपको एचटीटीपी 200 रिस्पॉन्स मिलेगा. इस रिस्पॉन्स के मुख्य भाग में JSON फ़ॉर्मैट वाले आईडी टोकन के दावे शामिल होंगे.
यहां जवाब का एक उदाहरण दिया गया है:
{
// These six fields are included in all Google ID Tokens.
"iss": "https://accounts.google.com",
"sub": "110169484474386276334",
"azp": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
"aud": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
"iat": "1433978353",
"exp": "1433981953",
// These seven fields are only included when the user has granted the "profile" and
// "email" OAuth scopes to the application.
"email": "testuser@gmail.com",
"email_verified": "true",
"name" : "Test User",
"picture": "https://lh4.googleusercontent.com/-kYgzyAWpZzJ/ABCDEFGHI/AAAJKLMNOP/tIXL9Ir44LE/s99-c/photo.jpg",
"given_name": "Test",
"family_name": "User",
"locale": "en"
}
अगर आपको इस बात की पुष्टि करनी है कि आईडी टोकन से Google Workspace खाते का पता चलता है, तो hd दावा देखें. इससे पता चलता है कि उपयोगकर्ता का होस्ट किया गया डोमेन क्या है. इसका इस्तेमाल तब करना चाहिए,
जब किसी संसाधन के ऐक्सेस को सिर्फ़ कुछ डोमेन के सदस्यों तक सीमित किया गया हो. यह दावा मौजूद न होने का मतलब है कि यह खाता, Google Workspace के होस्ट किए गए डोमेन से जुड़ा नहीं है.