OpenID Connect

Die OAuth 2.0 APIs von Google können sowohl für die Authentifizierung als auch für die Autorisierung verwendet werden. In diesem Dokument wird unsere OAuth 2.0-Implementierung für die Authentifizierung beschrieben, die der OpenID Connect-Spezifikation entspricht und OpenID-zertifiziert ist. Die Dokumentation unter OAuth 2.0 für den Zugriff auf Google APIs verwenden gilt auch für diesen Dienst. Wenn Sie dieses Protokoll interaktiv kennenlernen möchten, empfehlen wir den Google OAuth 2.0 Playground. Wenn Sie Hilfe bei Stack Overflow benötigen, taggen Sie Ihre Fragen mit „google-oauth“.

OAuth 2.0 einrichten

Bevor Ihre Anwendung das OAuth 2.0-Authentifizierungssystem von Google für die Nutzeranmeldung verwenden kann, müssen Sie ein Projekt in der Google API Console einrichten, um OAuth 2.0-Anmeldedaten zu erhalten, eine Weiterleitungs-URI festzulegen und (optional) die Branding-Informationen anzupassen, die Ihre Nutzer auf dem Bildschirm zur Nutzereinwilligung sehen. Sie können API Console auch verwenden, um ein Dienstkonto zu erstellen, die Abrechnung zu aktivieren, die Filterung einzurichten und andere Aufgaben auszuführen. Weitere Informationen finden Sie in der Google API Console-Hilfe.

OAuth 2.0-Anmeldedaten abrufen

Sie benötigen OAuth 2.0-Anmeldedaten, einschließlich einer Client-ID und eines Clientschlüssels, um Nutzer zu authentifizieren und Zugriff auf die APIs von Google zu erhalten.

Klicken Sie auf den folgenden Text, um die Client-ID und das Client-Geheimnis für einen bestimmten OAuth 2.0-Berechtigungsnachweis anzuzeigen: Wählen Sie den Berechtigungsnachweis aus . Wählen Sie im folgenden Fenster Ihr Projekt und die gewünschten Anmeldeinformationen aus und klicken Sie dann auf Anzeigen .

Oder zeigen Sie Ihre Client-ID und Ihr Client-Geheimnis auf der Seite Anmeldeinformationen in API Console :

1. Go to the Credentials page.
2. Klicken Sie auf den Namen Ihres Berechtigungsnachweises oder auf das Stiftsymbol ( create ). Ihre Kunden-ID und Ihr Geheimnis befinden sich oben auf der Seite.

Weiterleitungs-URI festlegen

Der Weiterleitungs-URI, den Sie in der API Console festlegen, bestimmt, wohin Google Antworten auf Ihre Authentifizierungsanfragen sendet.

要创建，查看或编辑给定OAuth 2.0凭据的重定向URI，请执行以下操作：

1. Go to the Credentials page.
2. 在页面的OAuth 2.0客户端ID部分中，点击一个凭据。
3. 查看或编辑重定向URI。

如果“凭据”页面上没有OAuth 2.0客户端ID部分，则您的项目没有OAuth凭据。要创建一个，点击创建凭证 。

Bildschirm zur Einwilligung der Nutzer anpassen

Die OAuth 2.0-Authentifizierung umfasst einen Einwilligungsbildschirm, auf dem die von den Nutzern freigegebenen Informationen und die geltenden Nutzungsbedingungen beschrieben werden. Wenn sich der Nutzer beispielsweise anmeldet, wird er möglicherweise aufgefordert, Ihrer App Zugriff auf seine E-Mail-Adresse und grundlegende Kontoinformationen zu gewähren. Sie fordern den Zugriff auf diese Informationen mit dem Parameter scope an, den Ihre App in der Authentifizierungsanfrage enthält. Sie können auch Berechtigungen verwenden, um Zugriff auf andere Google APIs anzufordern.

Der Bildschirm zur Nutzereinwilligung enthält außerdem Markeninformationen wie den Produktnamen, das Logo und die URL der Startseite. Sie verwalten die Branding-Informationen in der API Console.

So aktivieren Sie den Zustimmungsbildschirm Ihres Projekts:

1. Öffnen Sie das Consent Screen page im Google API Console .
2. If prompted, select a project, or create a new one.
3. Füllen Sie das Formular aus und klicken Sie auf Speichern .

Im folgenden Einwilligungsdialog wird dargestellt, was ein Nutzer sehen würde, wenn in der Anfrage eine Kombination aus OAuth 2.0- und Google Drive-Bereichen vorhanden ist. Dieses generische Dialogfeld wurde mit dem Google OAuth 2.0 Playground erstellt und enthält daher keine Branding-Informationen, die in der API Consolefestgelegt würden.

Auf den Dienst zugreifen

Google und Drittanbieter stellen Bibliotheken bereit, mit denen Sie viele der Implementierungsdetails zur Authentifizierung von Nutzern und zum Zugriff auf Google APIs erledigen können. Beispiele hierfür sind die Google Identity Services und die Google-Clientbibliotheken, die für eine Vielzahl von Plattformen verfügbar sind.

Wenn Sie keine Bibliothek verwenden möchten, folgen Sie der Anleitung im restlichen Teil dieses Dokuments. Dort werden die HTTP-Anfrageabläufe beschrieben, die den verfügbaren Bibliotheken zugrunde liegen.

Nutzer authentifizieren

Zur Authentifizierung des Nutzers muss ein ID-Token abgerufen und validiert werden. ID-Tokens sind eine standardisierte Funktion von OpenID Connect, die zum Teilen von Identitätsausdrücken im Internet entwickelt wurde.

Die gängigsten Ansätze zur Authentifizierung eines Nutzers und zum Abrufen eines ID-Tokens werden als „Server-Ablauf“ und „impliziter Ablauf“ bezeichnet. Beim Serverablauf kann der Back-End-Server einer Anwendung die Identität der Person überprüfen, die einen Browser oder ein Mobilgerät verwendet. Der implizite Ablauf wird verwendet, wenn eine clientseitige Anwendung (in der Regel eine JavaScript-App, die im Browser ausgeführt wird) direkt und nicht über den Back-End-Server auf APIs zugreifen muss.

In diesem Dokument wird beschrieben, wie der Serverablauf für die Authentifizierung des Nutzers ausgeführt wird. Der implizite Ablauf ist aufgrund der Sicherheitsrisiken beim Umgang mit und der Verwendung von Tokens auf der Clientseite deutlich komplizierter. Wenn Sie einen impliziten Ablauf implementieren müssen, empfehlen wir dringend die Verwendung von Google Identity Services.

Serverfluss

Richten Sie Ihre App in der API Console ein, damit sie diese Protokolle verwenden und Ihre Nutzer authentifizieren kann. Wenn ein Nutzer versucht, sich mit Google anzumelden, müssen Sie Folgendes tun:

1. Statustoken zur Fälschungssicherheit erstellen
2. Authentifizierungsanfrage an Google senden
3. Status-Token zur Fälschungssicherheit bestätigen
4. code gegen Zugriffs- und ID-Token austauschen
5. Nutzerinformationen aus dem ID-Token abrufen
6. Nutzer authentifizieren

1. Statustoken zur Fälschungssicherheit erstellen

Sie müssen die Sicherheit Ihrer Nutzer schützen, indem Sie Angriffe durch Anfragefälschung verhindern. Der erste Schritt besteht darin, ein eindeutiges Sitzungstoken zu erstellen, das den Status zwischen Ihrer App und dem Client des Nutzers speichert. Sie gleichen dieses eindeutige Sitzungstoken später mit der Authentifizierungsantwort ab, die vom Google OAuth-Anmeldedienst zurückgegeben wird, um zu prüfen, ob die Anfrage vom Nutzer und nicht von einem böswilligen Angreifer stammt. Diese Tokens werden oft als CSRF-Tokens (Cross-Site Request Forgery) bezeichnet.

Ein geeigneter String für ein Status-Token ist ein String mit etwa 30 Zeichen, der mit einem hochwertigen Zufallszahlengenerator erstellt wurde. Eine weitere Möglichkeit ist ein Hash, der generiert wird, indem einige Ihrer Sitzungsstatusvariablen mit einem Schlüssel signiert werden, der auf Ihrem Back-End geheim gehalten wird.

Im folgenden Code wird gezeigt, wie eindeutige Sitzungstokens generiert werden.

// Create a state token to prevent request forgery.
// Store it in the session for later validation.
$state = bin2hex(random_bytes(128/8));
$app['session']->set('state', $state);
// Set the client ID, token state, and application name in the HTML while
// serving it.
return $app['twig']->render('index.html', array(
    'CLIENT_ID' => CLIENT_ID,
    'STATE' => $state,
    'APPLICATION_NAME' => APPLICATION_NAME
));

// Create a state token to prevent request forgery.
// Store it in the session for later validation.
String state = new BigInteger(130, new SecureRandom()).toString(32);
request.session().attribute("state", state);
// Read index.html into memory, and set the client ID,
// token state, and application name in the HTML before serving it.
return new Scanner(new File("index.html"), "UTF-8")
    .useDelimiter("\\A").next()
    .replaceAll("[{]{2}\\s*CLIENT_ID\\s*[}]{2}", CLIENT_ID)
    .replaceAll("[{]{2}\\s*STATE\\s*[}]{2}", state)
    .replaceAll("[{]{2}\\s*APPLICATION_NAME\\s*[}]{2}",
    APPLICATION_NAME);

# Create a state token to prevent request forgery.
# Store it in the session for later validation.
state = hashlib.sha256(os.urandom(1024)).hexdigest()
session['state'] = state
# Set the client ID, token state, and application name in the HTML while
# serving it.
response = make_response(
    render_template('index.html',
                    CLIENT_ID=CLIENT_ID,
                    STATE=state,
                    APPLICATION_NAME=APPLICATION_NAME))

2. Authentifizierungsanfrage an Google senden

Im nächsten Schritt wird eine HTTPS-GET-Anfrage mit den entsprechenden URI-Parametern erstellt. Beachten Sie, dass in allen Schritten dieses Prozesses HTTPS anstelle von HTTP verwendet wird. HTTP-Verbindungen werden abgelehnt. Du solltest den Basis-URI mit dem Metadatenwert authorization_endpoint aus dem Discovery-Dokument abrufen. In der folgenden Beschreibung wird davon ausgegangen, dass der Basis-URI https://accounts.google.com/o/oauth2/v2/auth ist.

Geben Sie für eine einfache Anfrage die folgenden Parameter an:

• client_id, die Sie von der API Console Credentials pageerhalten.
• response_type, die in einer einfachen Autorisierungscode-Anfrage code sein sollte. Weitere Informationen finden Sie unter response_type.
• scope, was in einer einfachen Anfrage openid email sein sollte. (Weitere Informationen finden Sie unter scope.)
• redirect_uri sollte der HTTP-Endpunkt auf Ihrem Server sein, an den die Antwort von Google gesendet wird. Der Wert muss genau mit einem der autorisierten Weiterleitungs-URIs für den OAuth 2.0-Client übereinstimmen, den Sie in der API Console Credentials pagekonfiguriert haben. Wenn dieser Wert nicht mit einem autorisierten URI übereinstimmt, schlägt die Anfrage mit dem Fehler redirect_uri_mismatch fehl.
• state sollte den Wert des eindeutigen Sitzungstokens zur Betrugsprävention sowie alle anderen Informationen enthalten, die zum Wiederherstellen des Kontexts erforderlich sind, wenn der Nutzer zu deiner Anwendung zurückkehrt, z.B. die Start-URL. (Weitere Informationen finden Sie unter state.)
• nonce ist ein von Ihrer App generierter Zufallswert, der den Replay-Schutz aktiviert, wenn er vorhanden ist.
• login_hint kann die E-Mail-Adresse des Nutzers oder der String sub sein, der der Google-ID des Nutzers entspricht. Wenn Sie keine login_hint angeben und der Nutzer derzeit angemeldet ist, enthält der Einwilligungsbildschirm eine Genehmigungsanfrage, die E-Mail-Adresse des Nutzers an Ihre App weiterzugeben. Weitere Informationen finden Sie unter login_hint.
• Mit dem Parameter hd können Sie den OpenID Connect-Ablauf für Nutzer einer bestimmten Domain optimieren, die mit einer Google Workspace- oder Cloud-Organisation verknüpft ist. Weitere Informationen finden Sie unter hd.

Hier ist ein Beispiel für einen vollständigen OpenID Connect-Authentifizierungs-URI mit Zeilenumbrüchen und Leerzeichen für eine bessere Lesbarkeit:

https://accounts.google.com/o/oauth2/v2/auth?
 response_type=code&
 client_id=424911365001.apps.googleusercontent.com&
 scope=openid%20email&
 redirect_uri=https%3A//oauth2.example.com/code&
 state=security_token%3D138r5719ru3e1%26url%3Dhttps%3A%2F%2Foauth2-login-demo.example.com%2FmyHome&
 login_hint=jsmith@example.com&
 nonce=0394852-3190485-2490358&
 hd=example.com

Nutzer müssen ihre Einwilligung geben, wenn Ihre App neue Informationen über sie anfordert oder wenn Ihre App den Kontozugriff anfordert, den sie zuvor nicht genehmigt haben.

3. Statustoken zur Fälschungssicherheit bestätigen

Die Antwort wird an die redirect_uri gesendet, die Sie in der Anfrage angegeben haben. Alle Antworten werden im Abfragestring zurückgegeben, wie unten dargestellt:

https://oauth2.example.com/code?state=security_token%3D138r5719ru3e1%26url%3Dhttps%3A%2F%2Foa2cb.example.com%2FmyHome&code=4/P7q7W91a-oMsCeLvIaQm6bTrgtp7&scope=openid%20email%20https://www.googleapis.com/auth/userinfo.email

Auf dem Server musst du prüfen, ob das von Google empfangene state mit dem Sitzungstoken übereinstimmt, das du in Schritt 1 erstellt hast. Diese Rücksendebestätigung trägt dazu bei, sicherzustellen, dass die Anfrage vom Nutzer und nicht von einem schädlichen Script stammt.

Im folgenden Code wird gezeigt, wie die Sitzungstokens bestätigt werden, die Sie in Schritt 1 erstellt haben:

// Ensure that there is no request forgery going on, and that the user
// sending us this connect request is the user that was supposed to.
if ($request->get('state') != ($app['session']->get('state'))) {
  return new Response('Invalid state parameter', 401);
}

// Ensure that there is no request forgery going on, and that the user
// sending us this connect request is the user that was supposed to.
if (!request.queryParams("state").equals(
    request.session().attribute("state"))) {
  response.status(401);
  return GSON.toJson("Invalid state parameter.");
}

# Ensure that the request is not a forgery and that the user sending
# this connect request is the expected user.
if request.args.get('state', '') != session['state']:
  response = make_response(json.dumps('Invalid state parameter.'), 401)
  response.headers['Content-Type'] = 'application/json'
  return response

4. code gegen Zugriffs- und ID-Token austauschen

Die Antwort enthält einen code-Parameter, einen einmaligen Autorisierungscode, den dein Server gegen ein Zugriffs- und ID-Token eintauschen kann. Dazu sendet Ihr Server eine HTTPS-POST-Anfrage. Die POST-Anfrage wird an den Token-Endpunkt gesendet, den du mit dem Metadatenwert token_endpoint aus dem Discovery-Dokument abrufen solltest. In der folgenden Diskussion wird davon ausgegangen, dass der Endpunkt https://oauth2.googleapis.com/token ist. Die Anfrage muss die folgenden Parameter im POST-Body enthalten:

Die tatsächliche Anfrage könnte so aussehen:

POST /token HTTP/1.1
Host: oauth2.googleapis.com
Content-Type: application/x-www-form-urlencoded

code=4/P7q7W91a-oMsCeLvIaQm6bTrgtp7&
client_id=your-client-id&
client_secret=your-client-secret&
redirect_uri=https%3A//oauth2.example.com/code&
grant_type=authorization_code

Eine erfolgreiche Antwort auf diese Anfrage enthält die folgenden Felder in einem JSON-Array:

5. Nutzerinformationen aus dem ID-Token abrufen

Ein ID-Token ist ein JWT (JSON Web Token), also ein kryptografisch signiertes Base64-codiertes JSON-Objekt. Normalerweise ist es wichtig, dass Sie ein ID-Token validieren, bevor Sie es verwenden. Da Sie jedoch direkt über einen HTTPS-Kanal ohne Vermittler mit Google kommunizieren und sich mit Ihrem Client-Secret bei Google authentifizieren, können Sie davon ausgehen, dass das empfangene Token tatsächlich von Google stammt und gültig ist. Wenn Ihr Server das ID-Token an andere Komponenten Ihrer App weitergibt, ist es äußerst wichtig, dass die anderen Komponenten das Token validieren, bevor sie es verwenden.

Da die meisten API-Bibliotheken die Validierung mit der Dekodierung der base64url-codierten Werte und dem Parsen des JSON-Codes kombinieren, müssen Sie das Token wahrscheinlich trotzdem validieren, wenn Sie auf die Berechtigungen im ID-Token zugreifen.

Nutzlast eines ID-Tokens

Ein ID-Token ist ein JSON-Objekt, das eine Reihe von Namen/Wert-Paaren enthält. Hier ein Beispiel, das für eine bessere Lesbarkeit formatiert ist:

{
  "iss": "https://accounts.google.com",
  "azp": "1234987819200.apps.googleusercontent.com",
  "aud": "1234987819200.apps.googleusercontent.com",
  "sub": "10769150350006150715113082367",
  "at_hash": "HK6E_P6Dh8Y93mRNtsDB1Q",
  "hd": "example.com",
  "email": "jsmith@example.com",
  "email_verified": "true",
  "iat": 1353601026,
  "exp": 1353604926,
  "nonce": "0394852-3190485-2490358"
}

Google-ID-Tokens können die folgenden Felder (sogenannte Anspruchsrechte) enthalten:

6. Nutzer authentifizieren

Nachdem Sie Nutzerinformationen aus dem ID-Token abgerufen haben, sollten Sie die Nutzerdatenbank Ihrer App abfragen. Wenn der Nutzer bereits in Ihrer Datenbank vorhanden ist, sollten Sie eine Anwendungssitzung für diesen Nutzer starten, wenn die Google API-Antwort alle Anmeldevoraussetzungen erfüllt.

Wenn der Nutzer nicht in Ihrer Nutzerdatenbank vorhanden ist, sollten Sie ihn zum Registrierungsvorgang für neue Nutzer weiterleiten. Unter Umständen können Sie den Nutzer anhand der Informationen, die Sie von Google erhalten, automatisch registrieren. Alternativ können Sie viele der Felder in Ihrem Registrierungsformular zumindest vorab ausfüllen. Zusätzlich zu den Informationen im ID-Token können Sie über unsere Nutzerprofilendpunkte weitere Nutzerprofilinformationen abrufen.

Themen für Fortgeschrittene

In den folgenden Abschnitten wird die Google OAuth 2.0 API genauer beschrieben. Diese Informationen richten sich an Entwickler mit erweiterten Anforderungen an Authentifizierung und Autorisierung.

Zugriff auf andere Google APIs

Einer der Vorteile der Verwendung von OAuth 2.0 für die Authentifizierung besteht darin, dass Ihre Anwendung gleichzeitig mit der Authentifizierung des Nutzers die Berechtigung erhalten kann, andere Google APIs im Namen des Nutzers zu verwenden, z. B. YouTube, Google Drive, Kalender oder Kontakte. Fügen Sie dazu die erforderlichen zusätzlichen Bereiche in die Authentifizierungsanfrage ein, die Sie an Google senden. Wenn du beispielsweise deiner Authentifizierungsanfrage die Altersgruppe des Nutzers hinzufügen möchtest, gib den Gültigkeitsbereichsparameter openid email https://www.googleapis.com/auth/profile.agerange.read an. Der Nutzer wird auf dem Zustimmungsbildschirm entsprechend aufgefordert. Mit dem Zugriffstoken, das Sie von Google erhalten, können Sie auf alle APIs zugreifen, die mit den von Ihnen angeforderten und gewährten Zugriffsbereichen zusammenhängen.

Aktualisierungstokens

In Ihrer Anfrage für den API-Zugriff können Sie ein Aktualisierungstoken anfordern, das beim code-Austausch zurückgegeben wird. Mit einem Aktualisierungstoken kann Ihre App auch dann kontinuierlich auf Google APIs zugreifen, wenn der Nutzer nicht in Ihrer Anwendung angemeldet ist. Wenn du ein Aktualisierungstoken anfordern möchtest, setze den Parameter access_type in deiner Authentifizierungsanfrage auf offline.

Wichtige Hinweise:

• Speichere das Aktualisierungstoken sicher und dauerhaft, da du es nur beim ersten Mal erhalten kannst, wenn du den Code-Austauschvorgang durchführst.
• Die Anzahl der ausgestellten Aktualisierungstokens ist begrenzt: ein Limit pro Kombination aus Client und Nutzer und ein weiteres pro Nutzer für alle Clients. Wenn Ihre Anwendung zu viele Aktualisierungstokens anfordert, kann es zu diesen Limits kommen. In diesem Fall funktionieren ältere Aktualisierungstokens nicht mehr.

Weitere Informationen finden Sie unter Zugriffstoken aktualisieren (Offlinezugriff).

Aufforderung zur erneuten Einwilligung

Sie können den Nutzer auffordern, Ihre App noch einmal zu autorisieren, indem Sie in Ihrer Authentifizierungsanfrage den Parameter prompt auf consent festlegen. Wenn prompt=consent enthalten ist, wird der Einwilligungsbildschirm jedes Mal angezeigt, wenn Ihre App die Autorisierung von Zugriffsbereichen anfordert, auch wenn alle Bereiche zuvor Ihrem Google APIs-Projekt gewährt wurden. Fügen Sie prompt=consent daher nur bei Bedarf ein.

Weitere Informationen zum Parameter prompt findest du in der Tabelle Authentifizierungs-URI-Parameter unter prompt.

Authentifizierungs-URI-Parameter

In der folgenden Tabelle finden Sie eine vollständigere Beschreibung der Parameter, die von der OAuth 2.0-Authentifizierungs-API von Google akzeptiert werden.

ID-Token validieren

Sie müssen alle ID-Tokens auf Ihrem Server validieren, es sei denn, Sie wissen, dass sie direkt von Google stammen. Ihr Server muss beispielsweise alle ID-Tokens, die er von Ihren Client-Apps erhält, als authentisch bestätigen.

In den folgenden gängigen Situationen können Sie ID-Tokens an Ihren Server senden:

• Senden von ID-Tokens mit Anfragen, die authentifiziert werden müssen. Anhand der ID-Tokens kannst du den Nutzer ermitteln, der die Anfrage stellt, und für welchen Client das ID-Token gewährt wurde.

ID-Tokens sind vertraulich und können bei Abfangen missbraucht werden. Sie müssen dafür sorgen, dass diese Tokens sicher verarbeitet werden, indem Sie sie nur über HTTPS und nur über POST-Daten oder innerhalb von Anfrage-Headern übertragen. Wenn Sie ID-Tokens auf Ihrem Server speichern, müssen Sie sie auch sicher speichern.

ID-Tokens sind unter anderem deshalb nützlich, weil sie an verschiedene Komponenten Ihrer App übergeben werden können. Diese Komponenten können ein ID-Token als einfachen Authentifizierungsmechanismus verwenden, um die App und den Nutzer zu authentifizieren. Bevor Sie die Informationen im ID-Token verwenden oder sich darauf verlassen können, dass sich der Nutzer authentifiziert hat, müssen Sie es validieren.

Die Validierung eines ID-Tokens erfordert mehrere Schritte:

1. Prüfen Sie, ob das ID-Token vom Aussteller ordnungsgemäß signiert wurde. Von Google ausgestellte Tokens werden mit einem der Zertifikate signiert, die unter dem URI gefunden werden, der im Metadatenwert jwks_uri des Discovery-Dokuments angegeben ist.
2. Prüfen Sie, ob der Wert der iss-Anforderung im ID-Token https://accounts.google.com oder accounts.google.com ist.
3. Prüfen Sie, ob der Wert der aud-Anforderung im ID-Token mit der Client-ID Ihrer App übereinstimmt.
4. Prüfen Sie, ob die Ablaufzeit (exp-Anspruch) des ID-Tokens noch nicht abgelaufen ist.
5. Wenn du in der Anfrage einen Wert für den hd-Parameter angegeben hast, überprüfe, ob das ID-Token einen hd-Anspruch enthält, der mit einer akzeptierten Domain übereinstimmt, die mit einer Google Cloud-Organisation verknüpft ist.

Die Schritte 2 bis 5 umfassen nur String- und Datumsvergleiche, die recht einfach sind. Wir gehen hier nicht näher darauf ein.

Der erste Schritt ist komplexer und umfasst die Überprüfung der kryptografischen Signatur. Zum Debuggen können Sie den tokeninfo-Endpunkt von Google verwenden, um die lokale Verarbeitung auf Ihrem Server oder Gerät zu vergleichen. Angenommen, der Wert Ihres ID-Tokens lautet XYZ123. Dann entfernen Sie die Referenz auf den URI https://oauth2.googleapis.com/tokeninfo?id_token=XYZ123. Wenn die Tokensignatur gültig ist, enthält die Antwort die JWT-Nutzlast in decodierter JSON-Objektform.

Der tokeninfo-Endpunkt ist für die Fehlerbehebung nützlich. Für die Produktion sollten Sie jedoch die öffentlichen Schlüssel von Google vom Schlüsselendpunkt abrufen und die Validierung lokal ausführen. Sie sollten den Schlüssel-URI mit dem Metadatenwert jwks_uri aus dem Discovery-Dokument abrufen. Anfragen an den Debug-Endpunkt können gedrosselt oder anderweitig von sporadischen Fehlern betroffen sein.

Da Google seine öffentlichen Schlüssel nur selten ändert, kannst du sie mithilfe der Cache-Anweisungen der HTTP-Antwort im Cache speichern und in den meisten Fällen eine lokale Validierung viel effizienter durchführen als mit dem tokeninfo-Endpunkt. Für diese Validierung müssen Zertifikate abgerufen und geparst sowie die entsprechenden kryptografischen Aufrufe zur Überprüfung der Signatur ausgeführt werden. Glücklicherweise gibt es gut debuggte Bibliotheken in einer Vielzahl von Sprachen, die dies ermöglichen (siehe jwt.io).

Nutzerprofilinformationen abrufen

Wenn Sie zusätzliche Profilinformationen zum Nutzer abrufen möchten, können Sie das Zugriffstoken (das Ihre Anwendung während des Authentifizierungsablaufs erhält) und den OpenID Connect-Standard verwenden:

1. Damit die OpenID-Compliance eingehalten wird, müssen Sie die Werte für den openid profile-Bereich in Ihre Authentifizierungsanfrage aufnehmen.

   Wenn die E-Mail-Adresse des Nutzers enthalten sein soll, können Sie einen zusätzlichen Gültigkeitsbereichswert von email angeben. Wenn du sowohl profile als auch email angeben möchtest, kannst du den folgenden Parameter in den URI der Authentifizierungsanfrage einfügen:

   scope=openid%20profile%20email

2. Füge dem Autorisierungsheader dein Zugriffstoken hinzu und sende eine HTTPS-GET-Anfrage an den Userinfo-Endpunkt, den du mit dem userinfo_endpoint-Metadatenwert aus dem Discovery-Dokument abrufen solltest. Die Antwort „userinfo“ enthält Informationen zum Nutzer, wie in OpenID Connect Standard Claims beschrieben, und den Metadatenwert claims_supported des Discovery-Dokuments. Nutzer oder ihre Organisationen können bestimmte Felder angeben oder zurückhalten. Daher erhalten Sie möglicherweise nicht für jedes Feld Informationen für Ihre autorisierten Zugriffsbereiche.

Discovery-Dokument

Das OpenID Connect-Protokoll erfordert die Verwendung mehrerer Endpunkte für die Authentifizierung von Nutzern und für das Anfordern von Ressourcen wie Tokens, Nutzerinformationen und öffentlichen Schlüsseln.

Zur Vereinfachung von Implementierungen und zur Steigerung der Flexibilität ermöglicht OpenID Connect die Verwendung eines „Discovery-Dokuments“. Das ist ein JSON-Dokument, das sich an einem bekannten Speicherort befindet und Schlüssel/Wert-Paare enthält, die Details zur Konfiguration des OpenID Connect-Anbieters enthalten, einschließlich der URIs der Endpunkte für Autorisierung, Token, Widerruf, Nutzerinformationen und öffentliche Schlüssel. Das Discovery-Dokument für den OpenID Connect-Dienst von Google kann unter folgenden Links abgerufen werden:

https://accounts.google.com/.well-known/openid-configuration

Wenn Sie die OpenID Connect-Dienste von Google verwenden möchten, sollten Sie den URI des Discovery-Dokuments (https://accounts.google.com/.well-known/openid-configuration) in Ihre Anwendung einfügen. Ihre Anwendung ruft das Dokument ab, wendet Caching-Regeln in der Antwort an und ruft bei Bedarf Endpunkt-URIs daraus ab. Wenn Sie beispielsweise einen Nutzer authentifizieren möchten, ruft Ihr Code den Metadatenwert authorization_endpoint (https://accounts.google.com/o/oauth2/v2/auth im Beispiel unten) als Basis-URI für Authentifizierungsanfragen ab, die an Google gesendet werden.

Hier ist ein Beispiel für ein solches Dokument. Die Feldnamen entsprechen den in OpenID Connect Discovery 1.0 angegebenen Namen. Die Bedeutungen finden Sie in diesem Dokument. Die Werte dienen nur zur Veranschaulichung und können sich ändern. Sie wurden aus einer aktuellen Version des Google Discovery-Dokuments kopiert:

{
  "issuer": "https://accounts.google.com",
  "authorization_endpoint": "https://accounts.google.com/o/oauth2/v2/auth",
  "device_authorization_endpoint": "https://oauth2.googleapis.com/device/code",
  "token_endpoint": "https://oauth2.googleapis.com/token",
  "userinfo_endpoint": "https://openidconnect.googleapis.com/v1/userinfo",
  "revocation_endpoint": "https://oauth2.googleapis.com/revoke",
  "jwks_uri": "https://www.googleapis.com/oauth2/v3/certs",
  "response_types_supported": [
    "code",
    "token",
    "id_token",
    "code token",
    "code id_token",
    "token id_token",
    "code token id_token",
    "none"
  ],
  "subject_types_supported": [
    "public"
  ],
  "id_token_signing_alg_values_supported": [
    "RS256"
  ],
  "scopes_supported": [
    "openid",
    "email",
    "profile"
  ],
  "token_endpoint_auth_methods_supported": [
    "client_secret_post",
    "client_secret_basic"
  ],
  "claims_supported": [
    "aud",
    "email",
    "email_verified",
    "exp",
    "family_name",
    "given_name",
    "iat",
    "iss",
    "locale",
    "name",
    "picture",
    "sub"
  ],
  "code_challenge_methods_supported": [
    "plain",
    "S256"
  ]
}

Möglicherweise können Sie einen HTTP-Rücklauf vermeiden, indem Sie die Werte aus dem Discovery-Dokument im Cache speichern. Es werden Standard-HTTP-Caching-Header verwendet, die beachtet werden sollten.

Clientbibliotheken

Die folgenden Clientbibliotheken vereinfachen die Implementierung von OAuth 2.0, da sie in gängige Frameworks eingebunden werden können:

• Google APIs-Clientbibliothek für Java
• Google APIs-Clientbibliothek für Python
• Google APIs-Clientbibliothek für .NET
• Google APIs-Clientbibliothek für Ruby
• Google APIs-Clientbibliothek für PHP
• OAuth 2.0-Bibliothek für das Google Web Toolkit
• OAuth 2.0-Controller der Google Toolbox for Mac

OpenID Connect-Compliance

Das OAuth 2.0-Authentifizierungssystem von Google unterstützt die erforderlichen Funktionen der OpenID Connect Core-Spezifikation. Jeder Client, der für die Verwendung mit OpenID Connect entwickelt wurde, sollte mit diesem Dienst interagieren können (mit Ausnahme des OpenID-Anfrageobjekts).