OpenGL कनेक्ट

Google के OAuth 2.0 एपीआई का इस्तेमाल, पुष्टि करने और अनुमति देने, दोनों के लिए किया जा सकता है. इस दस्तावेज़ में, पुष्टि करने के लिए हमारे OAuth 2.0 को लागू करने के बारे में बताया गया है. यह पुष्टि करने के लिए, OpenID Connect की खास बातों से जुड़ी जानकारी दी गई है और यह OpenID सर्टिफ़ाइड है. Google API को ऐक्सेस करने के लिए OAuth 2.0 का इस्तेमाल करने में मौजूद दस्तावेज़, इस सेवा पर भी लागू होते हैं. अगर आपको इस प्रोटोकॉल का इस्तेमाल इंटरैक्टिव तरीके से करना है, तो हमारा सुझाव है कि आप Google OAuth 2.0 Playground का इस्तेमाल करें. Stack Overflow पर सहायता पाने के लिए, अपने सवालों को 'google-oauth' पर टैग करें.

OAuth 2.0 सेट अप करना

आपका ऐप्लिकेशन, उपयोगकर्ता के लॉगिन करने के लिए, Google के OAuth 2.0 की पुष्टि करने वाले सिस्टम का इस्तेमाल करे, इससे पहले आपको Google API Console में OAuth 2.0 क्रेडेंशियल पाने, रीडायरेक्ट यूआरआई सेट करने, और (विकल्प के तौर पर) उपयोगकर्ता की सहमति वाली स्क्रीन पर दिखने वाली ब्रैंडिंग से जुड़ी जानकारी पसंद के मुताबिक सेट करनी होगी. आपके पास API Console का इस्तेमाल सेवा खाता बनाने, बिलिंग की सुविधा चालू करने, फ़िल्टर सेट अप करने, और अन्य काम करने के लिए भी करने का विकल्प है. ज़्यादा जानकारी के लिए, Google API Consoleसहायता पेज देखें.

OAuth 2.0 क्रेडेंशियल पाना

आपको OAuth 2.0 क्रेडेंशियल की ज़रूरत होती है, जिनमें क्लाइंट आईडी और क्लाइंट सीक्रेट भी शामिल है. इससे, उपयोगकर्ताओं की पुष्टि करने और Google के एपीआई का ऐक्सेस पाने में मदद मिलती है.

किसी दिए गए OAuth 2.0 क्रेडेंशियल के लिए क्लाइंट आईडी और क्लाइंट सीक्रेट देखने के लिए, निम्न टेक्स्ट पर क्लिक करें : क्रेडेंशियल का चयन करें । खुलने वाली विंडो में, अपनी परियोजना और इच्छित क्रेडेंशियल चुनें, फिर देखें पर क्लिक करें।

या, API Console में क्रेडेंशियल पेज से अपनी क्लाइंट आईडी और क्लाइंट सीक्रेट API Console :

1. Go to the Credentials page.
2. अपने क्रेडेंशियल या पेंसिल ( create ) आइकन के नाम पर क्लिक करें। आपकी क्लाइंट आईडी और रहस्य पृष्ठ के शीर्ष पर हैं।

रीडायरेक्ट यूआरआई सेट करना

API Console में रीडायरेक्ट रीडायरेक्ट सेट करने से यह तय होता है कि Google आपके पुष्टि करने के अनुरोधों का जवाब कहां भेजता है.

किसी दिए गए OAuth 2.0 क्रेडेंशियल के लिए रीडायरेक्ट URI को बनाने, देखने या संपादित करने के लिए, निम्नलिखित करें:

1. Go to the Credentials page.
2. पृष्ठ के OAuth 2.0 क्लाइंट आईडी अनुभाग में, एक क्रेडेंशियल पर क्लिक करें।
3. अनुप्रेषित URI को देखें या संपादित करें।

यदि क्रेडेंशियल पेज पर कोई OAuth 2.0 क्लाइंट आईडी अनुभाग नहीं है, तो आपकी परियोजना में कोई OAuth क्रेडेंशियल नहीं है। एक बनाने के लिए, क्रेडेंशियल्स बनाएँ पर क्लिक करें ।

उपयोगकर्ता की सहमति स्क्रीन को पसंद के मुताबिक बनाएं

आपके उपयोगकर्ताओं के लिए, OAuth 2.0 की पुष्टि करने के अनुभव में, सहमति वाली स्क्रीन शामिल होती है. इस स्क्रीन पर, उपयोगकर्ता की रिलीज़ की जा रही जानकारी और लागू होने वाली शर्तों की जानकारी दी जाती है. उदाहरण के तौर पर, उपयोगकर्ता के लॉग इन करने पर, उनसे आपके ऐप्लिकेशन को अपने ईमेल पते और खाते की बुनियादी जानकारी का ऐक्सेस देने के लिए कहा जा सकता है. आप scope पैरामीटर का इस्तेमाल करके, इस जानकारी को ऐक्सेस करने का अनुरोध करते हैं. यह पैरामीटर, पुष्टि करने के आपके अनुरोध में शामिल होता है. दायरे का इस्तेमाल करके, अन्य Google API का भी ऐक्सेस मांगा जा सकता है.

उपयोगकर्ता की सहमति वाली स्क्रीन में, प्रॉडक्ट की ब्रैंडिंग से जुड़ी जानकारी भी दिखती है. जैसे, आपके प्रॉडक्ट का नाम, लोगो, और होम पेज का यूआरएल. API Consoleमें ब्रैंडिंग से जुड़ी जानकारी को कंट्रोल किया जा सकता है.

अपनी परियोजना की सहमति स्क्रीन को सक्षम करने के लिए:

1. खोलें Consent Screen page में Google API Console ।
2. If prompted, select a project, or create a new one.
3. फॉर्म भरें और सेव पर क्लिक करें ।

सहमति वाला यह डायलॉग दिखाता है कि अनुरोध में OAuth 2.0 और Google Drive के दायरे मौजूद होने पर, उपयोगकर्ता को क्या दिखेगा. (यह सामान्य डायलॉग Google OAuth 2.0 Playground का इस्तेमाल करके जनरेट किया गया है. इसलिए, इसमें ब्रैंडिंग से जुड़ी ऐसी जानकारी शामिल नहीं होती है जिसे API Consoleमें सेट किया जाता है.)

सेवा को ऐक्सेस करना

Google और तीसरे पक्ष, ऐसी लाइब्रेरी उपलब्ध कराते हैं जिनका इस्तेमाल उपयोगकर्ताओं की पुष्टि करने और Google API का ऐक्सेस पाने से जुड़ी कई जानकारी को मैनेज करने के लिए किया जा सकता है. उदाहरण के लिए, Google Identity सेवाएं और Google क्लाइंट लाइब्रेरी. ये अलग-अलग प्लैटफ़ॉर्म के लिए उपलब्ध हैं.

अगर किसी लाइब्रेरी का इस्तेमाल नहीं करना है, तो इस दस्तावेज़ के बाकी हिस्से में दिए गए निर्देशों का पालन करें. इस दस्तावेज़ में, उन एचटीटीपी अनुरोध फ़्लो के बारे में बताया गया है जो उपलब्ध लाइब्रेरी के तहत आते हैं.

उपयोगकर्ता की पुष्टि करना

उपयोगकर्ता की पुष्टि करने के लिए, आईडी टोकन लेना और उसकी पुष्टि करना शामिल है. आईडी टोकन, OpenID Connect की स्टैंडर्ड सुविधा है. इसे इंटरनेट पर पहचान से जुड़े दावे शेयर करने के लिए डिज़ाइन किया गया है.

किसी उपयोगकर्ता की पुष्टि करने और आईडी टोकन पाने के लिए, सबसे ज़्यादा इस्तेमाल किए जाने वाले तरीकों को "सर्वर" फ़्लो और "इंप्लिसिट" फ़्लो कहा जाता है. सर्वर फ़्लो किसी ऐप्लिकेशन के बैक-एंड सर्वर को यह अनुमति देता है कि वह ब्राउज़र या मोबाइल डिवाइस का इस्तेमाल करने वाले व्यक्ति की पहचान की पुष्टि कर सके. इंप्लिसिट फ़्लो का इस्तेमाल तब किया जाता है, जब क्लाइंट-साइड ऐप्लिकेशन (आम तौर पर, ब्राउज़र में चल रहे JavaScript ऐप्लिकेशन) के लिए, बैक-एंड सर्वर के बजाय सीधे एपीआई को ऐक्सेस करना पड़ता है.

इस दस्तावेज़ में बताया गया है कि उपयोगकर्ता की पुष्टि करने के लिए सर्वर फ़्लो कैसे पूरा करें. इंप्लिसिट फ़्लो काफ़ी जटिल होता है. ऐसा, क्लाइंट साइड पर टोकन मैनेज करने और उनके इस्तेमाल में सुरक्षा से जुड़े जोखिमों की वजह से होता है. इंप्लिसिट फ़्लो लागू करने के लिए, हम Google Identity सेवाएं इस्तेमाल करने का सुझाव देते हैं.

सर्वर फ़्लो

पक्का करें कि आपने API Consoleमें अपना ऐप्लिकेशन सेट अप किया है, ताकि वह इन प्रोटोकॉल का इस्तेमाल कर सके और आपके उपयोगकर्ताओं की पुष्टि कर सके. जब कोई उपयोगकर्ता Google से लॉग इन करने की कोशिश करता है, तो आपको:

1. एंटी-फ़र्जी स्टेट टोकन बनाना
2. Google को पुष्टि करने का अनुरोध भेजना
3. जालसाज़ी की स्थिति के टोकन की पुष्टि करना
4. ऐक्सेस टोकन और आईडी टोकन के लिए code बदलें
5. आईडी टोकन से उपयोगकर्ता की जानकारी पाना
6. उपयोगकर्ता की पुष्टि करना

1. एक एंटी-नकली राज्य टोकन बनाएं

आपको जालसाज़ी के अनुरोधों से बचकर अपने उपयोगकर्ताओं की सुरक्षा को बनाए रखना चाहिए. पहले चरण में एक खास सेशन टोकन बनाया जाता है, जिसमें आपके ऐप्लिकेशन और उपयोगकर्ता के क्लाइंट के बीच की स्थिति होती है. इसके बाद, इस यूनीक सेशन टोकन का मिलान पुष्टि करने वाले रिस्पॉन्स के साथ किया जाता है. यह रिस्पॉन्स, Google OAuth लॉगिन सेवा से मिलता है, ताकि यह पक्का किया जा सके कि उपयोगकर्ता अनुरोध कर रहा है, न कि नुकसान पहुंचाने वाले हमलावर ने. इन टोकन को अक्सर क्रॉस-साइट अनुरोध जालसाज़ी (सीएसएफ़आर) टोकन के तौर पर जाना जाता है.

स्टेट टोकन के लिए 30 या ज़्यादा की स्ट्रिंग, अच्छा विकल्प है. यह अच्छी क्वालिटी के रैंडम-नंबर जनरेटर का इस्तेमाल करके बनाया जाता है. दूसरा हैश है. इसे आपके कुछ सेशन की स्थिति वाले वैरिएबल पर साइन करके, एक कुंजी के ज़रिए साइन किया जाता है. इस कुंजी को आपके बैक-एंड पर रखा जाता है.

नीचे दिया गया कोड, यूनीक सेशन टोकन जनरेट करने के बारे में बताता है.

// Create a state token to prevent request forgery.
// Store it in the session for later validation.
$state = bin2hex(random_bytes(128/8));
$app['session']->set('state', $state);
// Set the client ID, token state, and application name in the HTML while
// serving it.
return $app['twig']->render('index.html', array(
    'CLIENT_ID' => CLIENT_ID,
    'STATE' => $state,
    'APPLICATION_NAME' => APPLICATION_NAME
));

// Create a state token to prevent request forgery.
// Store it in the session for later validation.
String state = new BigInteger(130, new SecureRandom()).toString(32);
request.session().attribute("state", state);
// Read index.html into memory, and set the client ID,
// token state, and application name in the HTML before serving it.
return new Scanner(new File("index.html"), "UTF-8")
    .useDelimiter("\\A").next()
    .replaceAll("[{]{2}\\s*CLIENT_ID\\s*[}]{2}", CLIENT_ID)
    .replaceAll("[{]{2}\\s*STATE\\s*[}]{2}", state)
    .replaceAll("[{]{2}\\s*APPLICATION_NAME\\s*[}]{2}",
    APPLICATION_NAME);

# Create a state token to prevent request forgery.
# Store it in the session for later validation.
state = hashlib.sha256(os.urandom(1024)).hexdigest()
session['state'] = state
# Set the client ID, token state, and application name in the HTML while
# serving it.
response = make_response(
    render_template('index.html',
                    CLIENT_ID=CLIENT_ID,
                    STATE=state,
                    APPLICATION_NAME=APPLICATION_NAME))

2. Google को पुष्टि करने का अनुरोध भेजना

अगले चरण में, सही यूआरआई पैरामीटर के साथ GET एचटीटीपीएस बनाया जा रहा है. इस प्रक्रिया के सभी चरणों में एचटीटीपी के बजाय एचटीटीपीएस का इस्तेमाल करें. एचटीटीपी कनेक्शन अस्वीकार किए जाते हैं. आपको authorization_endpoint मेटाडेटा वैल्यू का इस्तेमाल करके, डिस्कवरी दस्तावेज़ से बेस यूआरआई को वापस पाना चाहिए. इस चर्चा में यह माना गया है कि मूल यूआरआई https://accounts.google.com/o/oauth2/v2/auth है.

बुनियादी अनुरोध के लिए, नीचे दिए गए पैरामीटर डालें:

• client_id, जो आपको API Console Credentials page से मिलते हैं .
• response_type, जो बुनियादी ऑथराइज़ेशन कोड फ़्लो के अनुरोध में code होना चाहिए. (response_type पर ज़्यादा पढ़ें.)
• scope, जो बुनियादी अनुरोध में openid email होना चाहिए. (scope पर ज़्यादा पढ़ें.)
• आपके सर्वर पर एचटीटीपी एंडपॉइंट redirect_uri होना चाहिए जिसे Google से रिस्पॉन्स मिलेगा. यह वैल्यू, OAuth 2.0 क्लाइंट के लिए, अनुमति वाले किसी एक रीडायरेक्ट यूआरआई से पूरी तरह मेल खानी चाहिए. इस यूआरआई को आपने API Console Credentials pageमें कॉन्फ़िगर किया था. अगर यह वैल्यू, आधिकारिक यूआरआई से मेल नहीं खाती, तो अनुरोध redirect_uri_mismatch गड़बड़ी के साथ पूरा नहीं हो पाएगा.
• state में एंटी-फ़र्जी यूनीक सेशन टोकन की वैल्यू शामिल होनी चाहिए.साथ ही, जब उपयोगकर्ता आपके ऐप्लिकेशन पर वापस आए, तो संदर्भ को वापस पाने के लिए ज़रूरी अन्य जानकारी भी शामिल होनी चाहिए. जैसे, शुरुआती यूआरएल. (state पर ज़्यादा पढ़ें.)
• nonce आपके ऐप्लिकेशन से जनरेट की गई एक रैंडम वैल्यू होती है. यह वैल्यू मौजूद होने पर, इसे फिर से चलाने की सुविधा चालू करती है.
• login_hint, उपयोगकर्ता का ईमेल पता या sub स्ट्रिंग हो सकती है, जो उपयोगकर्ता के Google आईडी से मेल खाती है. अगर आप login_hint नहीं देते हैं और फ़िलहाल उपयोगकर्ता लॉग इन है, तो सहमति वाली स्क्रीन में उपयोगकर्ता का ईमेल पता आपके ऐप्लिकेशन के लिए रिलीज़ करने की अनुमति का अनुरोध शामिल होता है. (login_hint पर ज़्यादा पढ़ें.)
• hd क्लाउड पैरामीटर का इस्तेमाल करके, Google Cloud संगठन से जुड़े किसी खास डोमेन के उपयोगकर्ताओं के लिए OpenConnect कनेक्ट करें. (hd पर ज़्यादा पढ़ें.)

यहां पढ़ने के लिए, हर पंक्ति में खाली जगह और खाली जगह के साथ, कनेक्ट किए गए OAuth यूआरआई का एक उदाहरण दिया गया है:

https://accounts.google.com/o/oauth2/v2/auth?
 response_type=code&
 client_id=424911365001.apps.googleusercontent.com&
 scope=openid%20email&
 redirect_uri=https%3A//oauth2.example.com/code&
 state=security_token%3D138r5719ru3e1%26url%3Dhttps%3A%2F%2Foauth2-login-demo.example.com%2FmyHome&
 login_hint=jsmith@example.com&
 nonce=0394852-3190485-2490358&
 hd=example.com

अगर आपके ऐप्लिकेशन में किसी नई जानकारी का अनुरोध किया जाता है या आपका ऐप्लिकेशन, खाते के ऐक्सेस का अनुरोध करता है, तो उपयोगकर्ताओं को इसके लिए सहमति देनी होगी.

3. एंटी-फ़र्जी स्टेट टोकन की पुष्टि करें

रिस्पॉन्स redirect_uri पर भेजा जाता है, जिसके बारे में आपने अनुरोध में बताया था. सभी जवाब, क्वेरी स्ट्रिंग में दिखाए जाते हैं, जैसा कि यहां दिखाया गया है:

https://oauth2.example.com/code?state=security_token%3D138r5719ru3e1%26url%3Dhttps%3A%2F%2Foa2cb.example.com%2FmyHome&code=4/P7q7W91a-oMsCeLvIaQm6bTrgtp7&scope=openid%20email%20https://www.googleapis.com/auth/userinfo.email

सर्वर पर, आपको इस बात की पुष्टि करनी होगी कि Google से प्राप्त state आपको चरण 1 में बनाए गए सत्र टोकन से मेल खाता है. इस ट्रिप-ट्रिप पुष्टि से यह पक्का करने में मदद मिलती है कि उपयोगकर्ता, नुकसान पहुंचाने वाली स्क्रिप्ट नहीं, बल्कि अनुरोध कर रहा है.

यह कोड, पहले चरण में बनाए गए सेशन टोकन की पुष्टि करने का तरीका दिखाता है:

// Ensure that there is no request forgery going on, and that the user
// sending us this connect request is the user that was supposed to.
if ($request->get('state') != ($app['session']->get('state'))) {
  return new Response('Invalid state parameter', 401);
}

// Ensure that there is no request forgery going on, and that the user
// sending us this connect request is the user that was supposed to.
if (!request.queryParams("state").equals(
    request.session().attribute("state"))) {
  response.status(401);
  return GSON.toJson("Invalid state parameter.");
}

# Ensure that the request is not a forgery and that the user sending
# this connect request is the expected user.
if request.args.get('state', '') != session['state']:
  response = make_response(json.dumps('Invalid state parameter.'), 401)
  response.headers['Content-Type'] = 'application/json'
  return response

4. ऐक्सेस टोकन और आईडी टोकन के लिए code का लेन-देन करें

इस रिस्पॉन्स में, code पैरामीटर शामिल होता है. यह एक बार इस्तेमाल होने वाला कोड होता है, जिसे आपका सर्वर ऐक्सेस टोकन और आईडी टोकन के बदले बदल सकता है. आपका सर्वर एचटीटीपीएस अनुरोध POST भेजकर यह लेन-देन करता है. POST के अनुरोध को टोकन एंडपॉइंट पर भेजा जाता है. आपको इस मेटाडेटा को token_endpoint मेटाडेटा की वैल्यू का इस्तेमाल करके, डिस्कवरी दस्तावेज़ से लेना चाहिए. यहां दी गई चर्चा को यह मानकर चलना चाहिए कि एंडपॉइंट https://oauth2.googleapis.com/token है. अनुरोध में POST बॉडी में ये पैरामीटर शामिल होने चाहिए:

अनुरोध कुछ इस तरह दिख सकता है:

POST /token HTTP/1.1
Host: oauth2.googleapis.com
Content-Type: application/x-www-form-urlencoded

code=4/P7q7W91a-oMsCeLvIaQm6bTrgtp7&
client_id=your-client-id&
client_secret=your-client-secret&
redirect_uri=https%3A//oauth2.example.com/code&
grant_type=authorization_code

इस अनुरोध के सफल रिस्पॉन्स में, JSON कलेक्शन में ये फ़ील्ड शामिल हैं:

5. आईडी टोकन से उपयोगकर्ता की जानकारी पाना

आईडी टोकन एक JWT (JSON वेब टोकन) होता है. यह क्रिप्टोग्राफ़िक हस्ताक्षर वाला JSON6 ऑब्जेक्ट है. आम तौर पर, इस्तेमाल करने से पहले ज़रूरी है कि आप किसी आईडी टोकन की पुष्टि करें. हालांकि, सीधे Google से किसी इंटरमीडिएट फ़्री एचटीटीपीएस चैनल पर बातचीत करने के दौरान और अपने क्लाइंट की सुरक्षा कुंजी की पुष्टि करने के लिए, Google को इस बात की पुष्टि करें कि आपको जो टोकन मिला है वह वाकई Google से आया है और मान्य है. अगर आपका सर्वर आपके ऐप्लिकेशन के अन्य कॉम्पोनेंट को आईडी टोकन पास करता है, तो यह काफ़ी ज़रूरी है कि अन्य कॉम्पोनेंट टोकन की पुष्टि करें.

ज़्यादातर एपीआई लाइब्रेरी, मंज़ूरी को मर्ज करके, Base64url-एन्कोड की गई वैल्यू को डिकोड करती हैं और JSON को पार्स करती हैं. इसलिए, हो सकता है कि आईडी टोकन में दिए गए दावों को ऐक्सेस करते समय, आप टोकन की पुष्टि कर लें.

आईडी टोकन के पेलोड

आईडी टोकन एक JSON ऑब्जेक्ट होता है, जिसमें नाम/वैल्यू पेयर का एक सेट होता है. उदाहरण के तौर पर, इसे पढ़ने के लिए फ़ॉर्मैट किया गया है:

{
  "iss": "https://accounts.google.com",
  "azp": "1234987819200.apps.googleusercontent.com",
  "aud": "1234987819200.apps.googleusercontent.com",
  "sub": "10769150350006150715113082367",
  "at_hash": "HK6E_P6Dh8Y93mRNtsDB1Q",
  "hd": "example.com",
  "email": "jsmith@example.com",
  "email_verified": "true",
  "iat": 1353601026,
  "exp": 1353604926,
  "nonce": "0394852-3190485-2490358"
}

Google आईडी टोकन में ये फ़ील्ड शामिल हो सकते हैं (जिन्हें दावे कहा जाता है):

6. उपयोगकर्ता की पुष्टि करना

आईडी टोकन से उपयोगकर्ता की जानकारी पाने के बाद, आपको अपने ऐप्लिकेशन के उपयोगकर्ता डेटाबेस के बारे में क्वेरी करनी चाहिए. अगर उपयोगकर्ता पहले से आपके डेटाबेस में मौजूद है, तो आपको उस उपयोगकर्ता के लिए एक ऐप्लिकेशन सेशन शुरू करना चाहिए. ऐसा तब होगा, जब लॉगिन की सभी ज़रूरी शर्तें, Google API के रिस्पॉन्स से जुड़ी हों.

अगर उपयोगकर्ता आपके उपयोगकर्ता डेटाबेस में मौजूद नहीं है, तो आपको उपयोगकर्ता को अपने नए उपयोगकर्ता के साइन अप फ़्लो पर रीडायरेक्ट करना चाहिए. आप Google से मिलने वाली जानकारी के आधार पर, उपयोगकर्ता को अपने-आप रजिस्टर कर सकते हैं या कम से कम, ऐसे कई फ़ील्ड पहले से भर सकते हैं जिनकी आपको रजिस्ट्रेशन फ़ॉर्म में ज़रूरत होती है. आईडी टोकन में दी गई जानकारी के अलावा, हमारे उपयोगकर्ता प्रोफ़ाइल एंडपॉइंट पर ज़्यादा उपयोगकर्ता प्रोफ़ाइल की जानकारी भी पाई जा सकती है.

उन्नत विषय

इन सेक्शन में Google OAuth 2.0 एपीआई के बारे में ज़्यादा जानकारी दी गई है. यह जानकारी उन डेवलपर के लिए है जिनके पास पुष्टि करने और अनुमति देने से जुड़ी बेहतर शर्तें हैं.

अन्य Google API का ऐक्सेस

पुष्टि करने के लिए OAuth 2.0 इस्तेमाल करने का एक फ़ायदा यह भी है कि उपयोगकर्ता की पुष्टि करते समय ही आपके ऐप्लिकेशन को, उपयोगकर्ता की ओर से दूसरे Google API (जैसे कि YouTube, Google Drive, Calendar या Contacts) का इस्तेमाल करने की अनुमति मिल सकती है. ऐसा करने के लिए, उन दायरों को शामिल करें जिनकी आपको Google को भेजे जाने वाले पुष्टि करने के अनुरोध में ज़रूरत होती है. उदाहरण के लिए, पुष्टि करने के अनुरोध में उपयोगकर्ता की उम्र का ग्रुप जोड़ने के लिए, openid email https://www.googleapis.com/auth/profile.agerange.read के दायरे वाले पैरामीटर का इस्तेमाल करें. उपयोगकर्ता को सहमति वाली स्क्रीन पर सही तरीके से भेजा जाए. Google से वापस मिलने वाले ऐक्सेस टोकन की मदद से, ऐक्सेस के दायरे वाले सभी एपीआई को ऐक्सेस किया जा सकता है.

टोकन रीफ़्रेश करें

एपीआई ऐक्सेस के अपने अनुरोध में, code एक्सचेंज के दौरान रीफ़्रेश टोकन लौटाने का अनुरोध किया जा सकता है. रीफ़्रेश टोकन की मदद से, आपके ऐप्लिकेशन को Google API का लगातार ऐक्सेस मिलता है, जबकि उपयोगकर्ता आपके ऐप्लिकेशन में मौजूद नहीं है. रीफ़्रेश टोकन का अनुरोध करने के लिए, अपने पुष्टि करने के अनुरोध में, access_type पैरामीटर को offline पर सेट करें.

इन बातों पर ध्यान दें:

• रीफ़्रेश टोकन को सुरक्षित और स्थायी रूप से संग्रहित करना न भूलें, क्योंकि जब आप कोड एक्सचेंज फ़्लो को पहली बार निष्पादित कर रहे हों, तब आप सिर्फ़ एक रीफ़्रेश टोकन पा सकते हैं.
• रीफ़्रेश जारी करने वाले टोकन की संख्या तय होती है. हर क्लाइंट/उपयोगकर्ता के हिसाब से एक सीमा तय होती है. वहीं, सभी क्लाइंट के लिए हर उपयोगकर्ता के हिसाब से एक सीमा तय की जाती है. अगर आपके ऐप्लिकेशन में बहुत ज़्यादा रीफ़्रेश टोकन का अनुरोध किया जाता है, तो हो सकता है कि वे इन सीमाओं के तहत आएं. ऐसे में, पुराने रीफ़्रेश टोकन काम नहीं करते.

ज़्यादा जानकारी के लिए, ऐक्सेस टोकन रीफ़्रेश करना (ऑफ़लाइन ऐक्सेस) देखें.

फिर से सहमति देने का अनुरोध करना

अपने पुष्टि करने के अनुरोध में, उपयोगकर्ता को prompt पैरामीटर को consent पर सेट करके, उपयोगकर्ता को आपके ऐप्लिकेशन को फिर से अनुमति देने के लिए कहा जा सकता है. जब prompt=consent शामिल किया जाता है, तब आपके ऐप्लिकेशन के ऐक्सेस की सीमाओं के लिए अनुमति पाने का अनुरोध करने पर, हर बार सहमति वाली स्क्रीन दिखती है. भले ही, पहले से सभी दायरे आपके Google API प्रोजेक्ट को दिए गए हों. इसलिए, ज़रूरी होने पर ही prompt=consent शामिल करें.

prompt पैरामीटर के बारे में ज़्यादा जानने के लिए, पुष्टि करने वाले यूआरआई पैरामीटर वाली टेबल में prompt देखें.

पुष्टि करने वाले यूआरआई के पैरामीटर

इस टेबल में उन पैरामीटर के बारे में पूरी जानकारी दी गई है जिन्हें Google के OAuth 2.0 की पुष्टि करने वाले एपीआई ने स्वीकार किया है.

आईडी टोकन की पुष्टि करना

आपको अपने सर्वर पर सभी आईडी टोकन की पुष्टि तब तक करनी होगी, जब तक आपको यह पता न हो कि ये टोकन सीधे Google से भेजे गए हैं. उदाहरण के लिए, आपके क्लाइंट को इस बात की पुष्टि करनी होगी कि आपके क्लाइंट ऐप्लिकेशन से उन्हें आईडी आईडी मिल रहे हैं.

यहां कुछ ऐसी सामान्य स्थितियों के बारे में बताया गया है जहां सर्वर को आईडी टोकन भेजे जा सकते हैं:

• ऐसे अनुरोधों के साथ आईडी टोकन भेजना जिन्हें प्रमाणित करना ज़रूरी है. आईडी टोकन से आपको यह पता चलता है कि उपयोगकर्ता किस तरह का अनुरोध कर रहा है और किस क्लाइंट के लिए आईडी टोकन दिया गया.

आईडी टोकन संवेदनशील होते हैं. अगर उन्हें चुराया जाता है, तो इनका इस्तेमाल किया जा सकता है. आपको यह पक्का करना होगा कि ये टोकन सुरक्षित तरीके से मैनेज किए जाएं. इसके लिए, आपको सिर्फ़ एचटीटीपीएस पर और सिर्फ़ पोस्ट डेटा या अनुरोध हेडर में इन्हें शेयर करना होगा. अगर आप अपने सर्वर पर आईडी टोकन स्टोर करते हैं, तो आपको उन्हें भी सुरक्षित रूप से स्टोर करना होगा.

आईडी टोकन इस्तेमाल करने का काम यह है कि उन्हें ऐप्लिकेशन के अलग-अलग कॉम्पोनेंट पर भेजा जा सकता है. ये कॉम्पोनेंट, ऐप्लिकेशन और उपयोगकर्ता की पुष्टि करने के लिए, पुष्टि करने के आसान तरीके के तौर पर आईडी टोकन का इस्तेमाल कर सकते हैं. आईडी टोकन में दी गई जानकारी का इस्तेमाल करने या इस दावे पर भरोसा करने के लिए कि उपयोगकर्ता की पुष्टि हो चुकी है, आपको उसकी पुष्टि करनी होगी.

आईडी टोकन की पुष्टि करने के लिए कई चरणों का पालन करना होगा:

1. पुष्टि करें कि आईडी टोकन को जारी करने वाले ने सही तरीके से साइन किया है. Google से जारी किए गए टोकन, डिस्कवरी दस्तावेज़ के jwks_uri मेटाडेटा की वैल्यू में दिए गए यूआरआई में से किसी एक सर्टिफ़िकेट की मदद से साइन किए जाते हैं.
2. पुष्टि करें कि आईडी टोकन में मौजूद iss के दावे की वैल्यू https://accounts.google.com या accounts.google.com के बराबर है.
3. पुष्टि करें कि आईडी टोकन में aud का दावा आपके ऐप्लिकेशन के क्लाइंट आईडी के बराबर है.
4. पुष्टि करें कि आईडी टोकन के खत्म होने का समय (exp दावा) बीत चुका है.
5. अगर आपने अनुरोध में hd पैरामीटर की वैल्यू दी है, तो पुष्टि करें कि आईडी टोकन में hd दावा है. यह दावा Google Cloud संगठन से जुड़े, स्वीकार किए गए डोमेन से मेल खाता है.

दूसरे और पांचवें चरण में सिर्फ़ स्ट्रिंग और तारीख की तुलनाएं शामिल हैं. ये तुलनाएं बहुत ही आसान हैं. इसलिए, हम उनके बारे में यहां नहीं बता सकते.

पहला चरण ज़्यादा जटिल है और इसमें क्रिप्टोग्राफ़िक हस्ताक्षर की जांच शामिल है. डीबग करने के मकसद से, Google के tokeninfo एंडपॉइंट का इस्तेमाल किया जा सकता है, ताकि यह तुलना की जा सके कि आपके सर्वर या डिवाइस पर, स्थानीय प्रोसेसिंग को लागू किया गया है या नहीं. मान लें कि आपके आईडी टोकन की वैल्यू XYZ123 है. इसके बाद, आप यूआरआई https://oauth2.googleapis.com/tokeninfo?id_token=XYZ123 का इस्तेमाल करना बंद कर सकते हैं. अगर टोकन सिग्नेचर मान्य है, तो रिस्पॉन्स, डिकोड किए गए JSON ऑब्जेक्ट फ़ॉर्म में JWT पेलोड होगा.

tokeninfo एंडपॉइंट, डीबग करने के लिए काम का है. हालांकि, इसका इस्तेमाल प्रोडक्शन के लिए, कुंजी एंडपॉइंट से Google की सार्वजनिक कुंजियां वापस पाना और पुष्टि स्थानीय स्तर पर करना शामिल है. आपको jwks_uri मेटाडेटा वैल्यू का इस्तेमाल करके, डिस्कवरी दस्तावेज़ से कुंजियां यूआरआई वापस लाना चाहिए. डीबग करने वाले एंडपॉइंट के अनुरोधों की संख्या कम की जा सकती है या उन पर रोक भी लगाई जा सकती है.

Google अपनी सार्वजनिक कुंजियों को सिर्फ़ कभी-कभी ही बदलता है. इसलिए, आप उन्हें एचटीटीपी रिस्पॉन्स के कैश निर्देशों का इस्तेमाल करके कैश मेमोरी में सेव कर सकते हैं. ज़्यादातर मामलों में, आप tokeninfo एंडपॉइंट का इस्तेमाल करने के बजाय, स्थानीय तौर पर पुष्टि करने की प्रक्रिया ज़्यादा बेहतर तरीके से पूरा कर सकते हैं. पुष्टि करने के लिए, सर्टिफ़िकेट हासिल करना और पार्स करना ज़रूरी होता है. साथ ही, हस्ताक्षर की जांच के लिए सही क्रिप्टोग्राफ़िक कॉल करना ज़रूरी होता है. अच्छी बात यह है कि इसे पूरा करने के लिए, अच्छी तरह से डीबग की गई लाइब्रेरी कई तरह की भाषाओं में उपलब्ध हैं (jwt.io देखें).

उपयोगकर्ता की प्रोफ़ाइल से जुड़ी जानकारी हासिल की जा रही है

उपयोगकर्ता के बारे में और जानकारी पाने के लिए, ऐक्सेस टोकन (जो आपके ऐप्लिकेशन को पुष्टि करने की प्रोसेस के दौरान मिलता है) और OpenID Connect स्टैंडर्ड का इस्तेमाल करें:

1. OpenSSL के नियमों का पालन करने के लिए, आपको पुष्टि करने के अनुरोध में, openid profile के दायरे वाले वैल्यू को शामिल करना होगा.

   अगर आपको उपयोगकर्ता का ईमेल पता शामिल करना है, तो आपके पास email का दायरा शामिल करने का विकल्प है. अपने profile और email, दोनों को तय करने के लिए, पुष्टि करने के अनुरोध वाले यूआरआई में यह पैरामीटर शामिल करें:

   scope=openid%20profile%20email

2. अपने ऐक्सेस टोकन को ऑथराइज़ेशन हेडर में जोड़ें और उपयोगकर्ता की जानकारी वाले एंडपॉइंट पर एचटीटीपीएस अनुरोध करें. आपको इसे डिस्कवरी दस्तावेज़ से userinfo_endpoint मेटाडेटा वैल्यू का इस्तेमाल करके पाना होगा. उपयोगकर्ता की जानकारी वाले जवाब में उपयोगकर्ता के बारे में वह जानकारी शामिल होती है जो OpenID Connect Standard Claims और 'डिस्कवरी' दस्तावेज़ के मेटाडेटा की वैल्यू claims_supported में बताई गई है. हो सकता है कि उपयोगकर्ता या उनके संगठन कुछ फ़ील्ड की जानकारी देना या उन्हें रोकना चाहें. इसलिए, हो सकता है कि आपको अनुमति वाले दायरे के लिए, हर फ़ील्ड की जानकारी न मिले.

खोज से जुड़ा दस्तावेज़

OAuth कनेक्ट प्रोटोकॉल के लिए, उपयोगकर्ताओं की पुष्टि करने और टोकन, उपयोगकर्ता की जानकारी, और सार्वजनिक कुंजियों जैसे संसाधनों के अनुरोध के लिए, कई एंडपॉइंट का इस्तेमाल करना ज़रूरी होता है.

आसान तरीके से लागू करने और सुविधा बढ़ाने के लिए, OpenSSL Connect "डिस्कवरी दस्तावेज़" इस्तेमाल करने की अनुमति देता है. यह JSON दस्तावेज़ का इस्तेमाल, जाने-माने जगहों पर किया जाता है. इस दस्तावेज़ में कुंजी की वैल्यू के जोड़े शामिल होते हैं. इससे, OAuth यूआरआई के प्रोवाइडर के कॉन्फ़िगरेशन, टोकन, सर्टिफ़िकेट निरस्त करने, उपयोगकर्ता की जानकारी, और सार्वजनिक कुंजी एंडपॉइंट के बारे में जानकारी मिलती है. Google की OpenSSL Connect सेवा के डिस्कवरी दस्तावेज़ को यहां से लिया जा सकता है:

https://accounts.google.com/.well-known/openid-configuration

Google की DoubleClick Connect सेवाओं का इस्तेमाल करने के लिए, आपको अपने दस्तावेज़ में डिस्कवरी-दस्तावेज़ यूआरआई (https://accounts.google.com/.well-known/openid-configuration) को हार्ड-कोड करना होगा. आपका ऐप्लिकेशन दस्तावेज़ को फ़ेच करता है, रिस्पॉन्स में कैश मेमोरी के नियम लागू करता है, फिर ज़रूरत के मुताबिक एंडपॉइंट एंडपॉइंट को वापस लाता है. उदाहरण के लिए, किसी उपयोगकर्ता की पुष्टि करने के लिए आपके कोड को authorization_endpoint मेटाडेटा वैल्यू (नीचे दिए गए उदाहरण में https://accounts.google.com/o/oauth2/v2/auth) मिलेगी. यह Google को भेजे गए पुष्टि करने के अनुरोधों के लिए, बेस यूआरआई के तौर पर काम करेगी.

ऐसे दस्तावेज़ का एक उदाहरण यहां दिया गया है. फ़ील्ड के नाम OpenID Connect Discovery 1.0 में दिए गए हैं (उनके मतलब के बारे में जानें). वैल्यू सिर्फ़ उदाहरण के तौर पर दी गई हैं और इनमें बदलाव हो सकता है. हालांकि, ये वैल्यू 'Google डिस्कवरी' के नए वर्शन से कॉपी की जाती हैं:

{
  "issuer": "https://accounts.google.com",
  "authorization_endpoint": "https://accounts.google.com/o/oauth2/v2/auth",
  "device_authorization_endpoint": "https://oauth2.googleapis.com/device/code",
  "token_endpoint": "https://oauth2.googleapis.com/token",
  "userinfo_endpoint": "https://openidconnect.googleapis.com/v1/userinfo",
  "revocation_endpoint": "https://oauth2.googleapis.com/revoke",
  "jwks_uri": "https://www.googleapis.com/oauth2/v3/certs",
  "response_types_supported": [
    "code",
    "token",
    "id_token",
    "code token",
    "code id_token",
    "token id_token",
    "code token id_token",
    "none"
  ],
  "subject_types_supported": [
    "public"
  ],
  "id_token_signing_alg_values_supported": [
    "RS256"
  ],
  "scopes_supported": [
    "openid",
    "email",
    "profile"
  ],
  "token_endpoint_auth_methods_supported": [
    "client_secret_post",
    "client_secret_basic"
  ],
  "claims_supported": [
    "aud",
    "email",
    "email_verified",
    "exp",
    "family_name",
    "given_name",
    "iat",
    "iss",
    "locale",
    "name",
    "picture",
    "sub"
  ],
  "code_challenge_methods_supported": [
    "plain",
    "S256"
  ]
}

आप डिस्कवरी दस्तावेज़ की वैल्यू को कैश मेमोरी में सेव करके, एचटीटीपी राउंड-ट्रिप से बच सकते हैं. स्टैंडर्ड एचटीटीपी कैश मेमोरी हेडर का इस्तेमाल किया जाता है और इसका पालन करना चाहिए.

क्लाइंट लाइब्रेरी

नीचे दी गई क्लाइंट लाइब्रेरी, लोकप्रिय फ़्रेमवर्क के साथ इंटिग्रेट करके OAuth 2.0 को लागू करना आसान बनाती हैं:

• Java के लिए Google API क्लाइंट लाइब्रेरी
• Python के लिए Google API क्लाइंट लाइब्रेरी
• .NET के लिए Google API क्लाइंट लाइब्रेरी
• Ruby के लिए Google API क्लाइंट लाइब्रेरी
• PHP के लिए Google API क्लाइंट लाइब्रेरी
• Google Web Toolkit के लिए OAuth 2.0 लाइब्रेरी
• Mac OAuth 2.0 कंट्रोलर के लिए Google टूलबॉक्स

OpenConnect का अनुपालन

Google के OAuth 2.0 की पुष्टि करने वाला सिस्टम, OpenID Connect Core की ज़रूरी सुविधाओं के साथ काम करता है. कोई भी क्लाइंट, जिसे Open Connect के साथ काम करने के लिए डिज़ाइन किया गया है, उसे इस सेवा के साथ काम करना चाहिए (OpenID अनुरोध ऑब्जेक्ट को छोड़कर).