Google OAuth 2.0 সিস্টেম সার্ভার-টু-সার্ভার ইন্টারঅ্যাকশন সমর্থন করে যেমন একটি ওয়েব অ্যাপ্লিকেশন এবং একটি Google পরিষেবার মধ্যে। এই দৃশ্যের জন্য আপনার একটি পরিষেবা অ্যাকাউন্টের প্রয়োজন, যা একটি অ্যাকাউন্ট যা আপনার অ্যাপ্লিকেশনের অন্তর্গত একটি স্বতন্ত্র ব্যবহারকারীর পরিবর্তে। আপনার অ্যাপ্লিকেশন পরিষেবা অ্যাকাউন্টের হয়ে Google API-কে কল করে, তাই ব্যবহারকারীরা সরাসরি জড়িত নয়৷ এই দৃশ্যটিকে কখনও কখনও "দুই-পাওয়ালা OAuth" বা "2LO" বলা হয়। (সম্পর্কিত শব্দ "থ্রি-লেগড OAuth" এমন পরিস্থিতিগুলিকে বোঝায় যেখানে আপনার অ্যাপ্লিকেশনটি শেষ ব্যবহারকারীদের পক্ষে Google API-কে কল করে এবং যেখানে কখনও কখনও ব্যবহারকারীর সম্মতি প্রয়োজন হয়৷)
সাধারণত, একটি অ্যাপ্লিকেশন একটি পরিষেবা অ্যাকাউন্ট ব্যবহার করে যখন অ্যাপ্লিকেশনটি ব্যবহারকারীর ডেটার পরিবর্তে তার নিজস্ব ডেটা নিয়ে কাজ করার জন্য Google API ব্যবহার করে। উদাহরণস্বরূপ, ডেটা স্থিরতার জন্য Google ক্লাউড ডেটাস্টোর ব্যবহার করে এমন একটি অ্যাপ্লিকেশন Google ক্লাউড ডেটাস্টোর API-এ তার কলগুলিকে প্রমাণীকরণ করতে একটি পরিষেবা অ্যাকাউন্ট ব্যবহার করবে।
Google Workspace ডোমেন অ্যাডমিনিস্ট্রেটররা ডোমেনের ব্যবহারকারীদের পক্ষ থেকে ব্যবহারকারীর ডেটা অ্যাক্সেস করার জন্য পরিষেবা অ্যাকাউন্টগুলিকে ডোমেন-ব্যাপী কর্তৃপক্ষ প্রদান করতে পারে।
এই দস্তাবেজটি বর্ণনা করে যে কীভাবে একটি অ্যাপ্লিকেশন Google API ক্লায়েন্ট লাইব্রেরি (প্রস্তাবিত) বা HTTP ব্যবহার করে সার্ভার-টু-সার্ভার OAuth 2.0 ফ্লো সম্পূর্ণ করতে পারে।
ওভারভিউ
সার্ভার-টু-সার্ভার ইন্টারঅ্যাকশন সমর্থন করতে, প্রথমে আপনার প্রকল্পের জন্য একটি পরিষেবা অ্যাকাউন্ট তৈরি করুন API Console. আপনি যদি আপনার Google Workspace অ্যাকাউন্টে ব্যবহারকারীদের জন্য ব্যবহারকারীর ডেটা অ্যাক্সেস করতে চান, তাহলে পরিষেবা অ্যাকাউন্টে ডোমেন-ওয়াইড অ্যাক্সেস অর্পণ করুন।
তারপর, আপনার অ্যাপ্লিকেশনটি OAuth 2.0 auth সার্ভার থেকে একটি অ্যাক্সেস টোকেন অনুরোধ করতে পরিষেবা অ্যাকাউন্টের শংসাপত্রগুলি ব্যবহার করে অনুমোদিত API কল করার জন্য প্রস্তুত করে৷
অবশেষে, আপনার অ্যাপ্লিকেশন Google API কল করতে অ্যাক্সেস টোকেন ব্যবহার করতে পারে।
একটি পরিষেবা অ্যাকাউন্ট তৈরি করা
একটি পরিষেবা অ্যাকাউন্টের শংসাপত্রগুলির মধ্যে একটি জেনারেট করা ইমেল ঠিকানা অন্তর্ভুক্ত থাকে যা অনন্য এবং কমপক্ষে একটি সর্বজনীন/বেসরকারী কী জোড়া। যদি ডোমেন-ওয়াইড ডেলিগেশন সক্ষম করা থাকে, তাহলে একটি ক্লায়েন্ট আইডিও পরিষেবা অ্যাকাউন্টের শংসাপত্রের অংশ।
যদি আপনার অ্যাপ্লিকেশন Google অ্যাপ ইঞ্জিনে চলে, আপনি যখন আপনার প্রকল্প তৈরি করেন তখন একটি পরিষেবা অ্যাকাউন্ট স্বয়ংক্রিয়ভাবে সেট আপ হয়ে যায়।
যদি আপনার অ্যাপ্লিকেশনটি Google Compute Engine-এ চলে, আপনি যখন আপনার প্রকল্প তৈরি করেন তখন একটি পরিষেবা অ্যাকাউন্টও স্বয়ংক্রিয়ভাবে সেট আপ হয়ে যায়, কিন্তু আপনি একটি Google Compute Engine দৃষ্টান্ত তৈরি করার সময় আপনার অ্যাপ্লিকেশানের অ্যাক্সেসের প্রয়োজন হয় এমন সুযোগগুলি আপনাকে অবশ্যই নির্দিষ্ট করতে হবে৷ আরও তথ্যের জন্য, পরিষেবা অ্যাকাউন্টগুলি ব্যবহার করার জন্য একটি উদাহরণ প্রস্তুত করা দেখুন।
যদি আপনার অ্যাপ্লিকেশনটি Google App Engine বা Google Compute Engine-এ না চলে, তাহলে আপনাকে অবশ্যই এই শংসাপত্রগুলি পেতে হবে Google API Console. পরিষেবা-অ্যাকাউন্টের শংসাপত্রগুলি তৈরি করতে, বা আপনি ইতিমধ্যে তৈরি করেছেন এমন সর্বজনীন শংসাপত্রগুলি দেখতে, নিম্নলিখিতগুলি করুন:
首先,创建一个服务帐户:
- 打开 Service accounts page。
- If prompted, select a project, or create a new one.
- 单击 创建服务帐户。
- 在Service account details下,键入服务帐户的名称、ID 和描述,然后点击Create and continue 。
- 可选:在Grant this service account access to project下,选择要授予服务帐户的 IAM 角色。
- 单击继续。
- 可选:在Grant users access to this service account下,添加允许使用和管理服务帐户的用户或组。
- 单击完成。
接下来,创建一个服务帐户密钥:
- 单击您创建的服务帐户的电子邮件地址。
- 单击密钥选项卡。
- 在添加密钥下拉列表中,选择创建新密钥。
- 单击创建。
您的新公钥/私钥对已生成并下载到您的机器上;它作为私钥的唯一副本。您有责任安全地存储它。如果您丢失了这个密钥对,您将需要生成一个新的。
আপনি ফিরে আসতে পারেন API Console যে কোনো সময়ে ইমেল ঠিকানা, সর্বজনীন কী আঙ্গুলের ছাপ, এবং অন্যান্য তথ্য দেখতে বা অতিরিক্ত পাবলিক/প্রাইভেট কী জোড়া তৈরি করতে। পরিষেবা অ্যাকাউন্ট শংসাপত্র সম্পর্কে আরো বিস্তারিত জানার জন্য API Console, পরিষেবা অ্যাকাউন্ট দেখুন API Consoleসাহায্য ফাইল।
পরিষেবা অ্যাকাউন্টের ইমেল ঠিকানাটি নোট করুন এবং পরিষেবা অ্যাকাউন্টের ব্যক্তিগত কী ফাইলটি আপনার অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য অবস্থানে সংরক্ষণ করুন। অনুমোদিত API কল করার জন্য আপনার অ্যাপ্লিকেশনের প্রয়োজন।
পরিষেবা অ্যাকাউন্টে ডোমেন-ব্যাপী কর্তৃপক্ষ অর্পণ করা
Google Workspace অ্যাকাউন্ট ব্যবহার করে, সংস্থার একজন Workspace অ্যাডমিনিস্ট্রেটর Google Workspace ডোমেনের ব্যবহারকারীদের হয়ে Workspace ব্যবহারকারীর ডেটা অ্যাক্সেস করার জন্য একটি অ্যাপ্লিকেশন অনুমোদন করতে পারেন। উদাহরণ স্বরূপ, একটি Google Workspace ডোমেনের সমস্ত ব্যবহারকারীর ক্যালেন্ডারে ইভেন্ট যোগ করতে Google Calendar API ব্যবহার করে এমন একটি অ্যাপ্লিকেশন ব্যবহারকারীদের হয়ে Google Calendar API অ্যাক্সেস করার জন্য একটি পরিষেবা অ্যাকাউন্ট ব্যবহার করবে। একটি ডোমেনে ব্যবহারকারীদের পক্ষ থেকে ডেটা অ্যাক্সেস করার জন্য একটি পরিষেবা অ্যাকাউন্টের অনুমোদনকে কখনও কখনও একটি পরিষেবা অ্যাকাউন্টে "ডোমেন-ওয়াইড অথরিটি অর্পণ" হিসাবে উল্লেখ করা হয়।
একটি পরিষেবা অ্যাকাউন্টে ডোমেন-ওয়াইড অথরিটি অর্পণ করতে, Google Workspace ডোমেনের একজন সুপার অ্যাডমিনিস্ট্রেটরকে নিম্নলিখিত ধাপগুলি সম্পূর্ণ করতে হবে:
- আপনার Google Workspace ডোমেনের অ্যাডমিন কনসোল থেকে, প্রধান মেনু > নিরাপত্তা > অ্যাক্সেস এবং ডেটা নিয়ন্ত্রণ > API নিয়ন্ত্রণগুলিতে যান।
- ডোমেন ওয়াইড ডেলিগেশন প্যানে, ডোমেন ওয়াইড ডেলিগেশন পরিচালনা করুন নির্বাচন করুন।
- নতুন যোগ করুন ক্লিক করুন.
- ক্লায়েন্ট আইডি ক্ষেত্রে, পরিষেবা অ্যাকাউন্টের ক্লায়েন্ট আইডি লিখুন। আপনি আপনার পরিষেবা অ্যাকাউন্টের ক্লায়েন্ট আইডি খুঁজে পেতে পারেন Service accounts page.
- OAuth স্কোপস (কমা-ডিলিমিটেড) ফিল্ডে, আপনার অ্যাপ্লিকেশানকে অ্যাক্সেস দেওয়া উচিত এমন স্কোপের তালিকা লিখুন। উদাহরণস্বরূপ, যদি আপনার অ্যাপ্লিকেশনটির Google Drive API এবং Google Calendar API-এ ডোমেন-ব্যাপী সম্পূর্ণ অ্যাক্সেসের প্রয়োজন হয়, তাহলে লিখুন: https://www.googleapis.com/auth/drive, https://www.googleapis.com/auth /ক্যালেন্ডার ।
- অনুমোদন ক্লিক করুন.
আপনার অ্যাপ্লিকেশানের এখন আপনার ওয়ার্কস্পেস ডোমেনে ব্যবহারকারী হিসাবে API কল করার কর্তৃত্ব রয়েছে (ব্যবহারকারীদের "ছদ্মবেশী" করার জন্য)। আপনি যখন এই অর্পিত API কলগুলি করার জন্য প্রস্তুত হন, আপনি স্পষ্টভাবে ব্যবহারকারীকে ছদ্মবেশী করার জন্য নির্দিষ্ট করবেন৷
একটি অর্পিত API কল করার প্রস্তুতি নিচ্ছে৷
জাভা
আপনি থেকে ক্লায়েন্ট ইমেল ঠিকানা এবং ব্যক্তিগত কী প্রাপ্ত করার পরে API Console, পরিষেবা অ্যাকাউন্টের শংসাপত্র এবং আপনার অ্যাপ্লিকেশনের যে স্কোপগুলিতে অ্যাক্সেস প্রয়োজন সেগুলি থেকে একটি GoogleCredential
অবজেক্ট তৈরি করতে Java এর জন্য Google APIs ক্লায়েন্ট লাইব্রেরি ব্যবহার করুন৷ যেমন:
import com.google.api.client.googleapis.auth.oauth2.GoogleCredential; import com.google.api.services.sqladmin.SQLAdminScopes; // ... GoogleCredential credential = GoogleCredential.fromStream(new FileInputStream("MyProject-1234.json")) .createScoped(Collections.singleton(SQLAdminScopes.SQLSERVICE_ADMIN));
আপনি যদি Google ক্লাউড প্ল্যাটফর্মে একটি অ্যাপ তৈরি করেন, তাহলে আপনি এর পরিবর্তে অ্যাপ্লিকেশন ডিফল্ট শংসাপত্র ব্যবহার করতে পারেন, যা প্রক্রিয়াটিকে সহজ করতে পারে।
ডোমেইন-ওয়াইড অথরিটি অর্পণ করুন
আপনার যদি পরিষেবা অ্যাকাউন্টে ডোমেন-ওয়াইড অ্যাক্সেস অর্পণ করা থাকে এবং আপনি একটি ব্যবহারকারী অ্যাকাউন্টের ছদ্মবেশী করতে চান, তাহলে GoogleCredential
অবজেক্টের createDelegated
পদ্ধতির সাথে ব্যবহারকারী অ্যাকাউন্টের ইমেল ঠিকানা নির্দিষ্ট করুন। যেমন:
GoogleCredential credential = GoogleCredential.fromStream(new FileInputStream("MyProject-1234.json")) .createScoped(Collections.singleton(SQLAdminScopes.SQLSERVICE_ADMIN)) .createDelegated("workspace-user@example.com");
উপরের কোডটি GoogleCredential
অবজেক্ট ব্যবহার করে তার createDelegated()
পদ্ধতিতে কল করে। createDelegated()
পদ্ধতির আর্গুমেন্টটি অবশ্যই একজন ব্যবহারকারী হতে হবে যা আপনার ওয়ার্কস্পেস অ্যাকাউন্টের অন্তর্গত। অনুরোধ করার জন্য আপনার কোডটি আপনার পরিষেবা অ্যাকাউন্ট ব্যবহার করে Google API-কে কল করতে এই শংসাপত্র ব্যবহার করবে।
পাইথন
আপনি থেকে ক্লায়েন্ট ইমেল ঠিকানা এবং ব্যক্তিগত কী প্রাপ্ত করার পরে API Console, নিম্নলিখিত ধাপগুলি সম্পূর্ণ করতে পাইথনের জন্য Google APIs ক্লায়েন্ট লাইব্রেরি ব্যবহার করুন:
- পরিষেবা অ্যাকাউন্টের শংসাপত্র থেকে একটি
Credentials
অবজেক্ট তৈরি করুন এবং আপনার অ্যাপ্লিকেশনের অ্যাক্সেসের প্রয়োজনের সুযোগগুলি তৈরি করুন৷ যেমন:from google.oauth2 import service_account SCOPES = ['https://www.googleapis.com/auth/sqlservice.admin'] SERVICE_ACCOUNT_FILE = '/path/to/service.json' credentials = service_account.Credentials.from_service_account_file( SERVICE_ACCOUNT_FILE, scopes=SCOPES)
আপনি যদি Google ক্লাউড প্ল্যাটফর্মে একটি অ্যাপ তৈরি করেন, তাহলে আপনি এর পরিবর্তে অ্যাপ্লিকেশন ডিফল্ট শংসাপত্র ব্যবহার করতে পারেন, যা প্রক্রিয়াটিকে সহজ করতে পারে।
- ডোমেইন-ওয়াইড অথরিটি অর্পণ করুন
আপনার যদি পরিষেবা অ্যাকাউন্টে ডোমেন-ওয়াইড অ্যাক্সেস অর্পণ করা থাকে এবং আপনি একটি ব্যবহারকারী অ্যাকাউন্টের ছদ্মবেশ ধারণ করতে চান, তাহলে একটি বিদ্যমান
ServiceAccountCredentials
অবজেক্টেরwith_subject
পদ্ধতিটি ব্যবহার করুন। যেমন:delegated_credentials = credentials.with_subject('user@example.org')
আপনার অ্যাপ্লিকেশনে Google API কল করতে শংসাপত্র অবজেক্ট ব্যবহার করুন।
HTTP/REST
আপনি ক্লায়েন্ট আইডি এবং প্রাইভেট কী প্রাপ্ত করার পরে API Console, আপনার আবেদনের নিম্নলিখিত ধাপগুলি সম্পূর্ণ করতে হবে:
- একটি JSON ওয়েব টোকেন তৈরি করুন (JWT, উচ্চারিত, "jot") যার মধ্যে একটি শিরোনাম, একটি দাবি সেট এবং একটি স্বাক্ষর রয়েছে৷
- Google OAuth 2.0 অনুমোদন সার্ভার থেকে একটি অ্যাক্সেস টোকেন অনুরোধ করুন৷
- অনুমোদন সার্ভার ফেরত দেওয়া JSON প্রতিক্রিয়া পরিচালনা করুন।
যে বিভাগগুলি অনুসরণ করে সেগুলি এই পদক্ষেপগুলি কীভাবে সম্পূর্ণ করতে হয় তা বর্ণনা করে৷
যদি প্রতিক্রিয়া একটি অ্যাক্সেস টোকেন অন্তর্ভুক্ত করে, আপনি একটি Google API কল করতে অ্যাক্সেস টোকেন ব্যবহার করতে পারেন। (যদি প্রতিক্রিয়াতে একটি অ্যাক্সেস টোকেন অন্তর্ভুক্ত না থাকে, তবে আপনার JWT এবং টোকেন অনুরোধটি সঠিকভাবে গঠিত নাও হতে পারে, অথবা পরিষেবা অ্যাকাউন্টের অনুরোধ করা সুযোগগুলি অ্যাক্সেস করার অনুমতি নাও থাকতে পারে।)
যখন অ্যাক্সেস টোকেনের মেয়াদ শেষ হয়ে যায় , তখন আপনার অ্যাপ্লিকেশন আরেকটি JWT তৈরি করে, এটিতে স্বাক্ষর করে এবং অন্য অ্যাক্সেস টোকেনের অনুরোধ করে।
এই অংশের বাকি অংশে একটি JWT তৈরি, JWT-এ স্বাক্ষর করা, অ্যাক্সেস টোকেন অনুরোধ তৈরি করা এবং প্রতিক্রিয়া পরিচালনা করার সুনির্দিষ্ট বিবরণ রয়েছে।
একটি JWT তৈরি করা
একটি JWT তিনটি অংশ নিয়ে গঠিত: একটি শিরোনাম, একটি দাবি সেট এবং একটি স্বাক্ষর। হেডার এবং দাবি সেট হল JSON অবজেক্ট। এই JSON অবজেক্টগুলিকে UTF-8 বাইটে সিরিয়ালাইজ করা হয়, তারপর Base64url এনকোডিং ব্যবহার করে এনকোড করা হয়। এই এনকোডিং বারবার এনকোডিং অপারেশনের কারণে এনকোডিং পরিবর্তনের বিরুদ্ধে স্থিতিস্থাপকতা প্রদান করে। শিরোনাম, দাবি সেট, এবং স্বাক্ষর একটি পিরিয়ড ( .
) অক্ষরের সাথে একত্রিত হয়৷
একটি JWT নিম্নরূপ গঠিত হয়:
{Base64url encoded header}.{Base64url encoded claim set}.{Base64url encoded signature}
স্বাক্ষরের জন্য ভিত্তি স্ট্রিং নিম্নরূপ:
{Base64url encoded header}.{Base64url encoded claim set}
JWT হেডার গঠন করা
শিরোনামটিতে তিনটি ক্ষেত্র রয়েছে যা সাইনিং অ্যালগরিদম, দাবীর ফর্ম্যাট এবং [পরিষেবা অ্যাকাউন্ট কী-এর কী আইডি](https://cloud.google.com/iam/docs/reference/rest/v1/ নির্দেশ করে) projects.serviceAccounts.keys) যেটি JWT স্বাক্ষর করতে ব্যবহৃত হয়েছিল। অ্যালগরিদম এবং বিন্যাস বাধ্যতামূলক, এবং প্রতিটি ক্ষেত্রের শুধুমাত্র একটি মান আছে। অতিরিক্ত অ্যালগরিদম এবং বিন্যাস চালু হওয়ার সাথে সাথে এই শিরোনামটি সেই অনুযায়ী পরিবর্তিত হবে। কী আইডিটি ঐচ্ছিক এবং যদি একটি ভুল কী আইডি নির্দিষ্ট করা হয় GCP টোকেন যাচাই করার জন্য পরিষেবা অ্যাকাউন্টের সাথে যুক্ত সমস্ত কী চেষ্টা করবে এবং কোন বৈধ কী না পাওয়া গেলে টোকেন প্রত্যাখ্যান করবে। Google ভবিষ্যতে ভুল কী আইডি সহ টোকেন প্রত্যাখ্যান করার অধিকার সংরক্ষণ করে৷
পরিষেবা অ্যাকাউন্টগুলি RSA SHA-256 অ্যালগরিদম এবং JWT টোকেন ফর্ম্যাটের উপর নির্ভর করে। ফলস্বরূপ, হেডারের JSON উপস্থাপনা নিম্নরূপ:
{"alg":"RS256","typ":"JWT", "kid":"370ab79b4513eb9bad7c9bd16a95cb76b5b2a56a"}
এর Base64url উপস্থাপনাটি নিম্নরূপ:
eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCIsICJraWQiOiIzNzBhYjc5YjQ1MTNlYjliYWQ3YzliZDE2YTk1Y2I3NmI1YjJhNTZhIn0=
JWT দাবি সেট গঠন
JWT দাবি সেটে JWT সম্পর্কিত তথ্য রয়েছে, যার মধ্যে অনুমতিগুলি অনুরোধ করা হচ্ছে (স্কোপ), টোকেনের লক্ষ্য, ইস্যুকারী, টোকেন ইস্যু করার সময় এবং টোকেনের জীবনকাল। বেশিরভাগ ক্ষেত্রেই বাধ্যতামূলক। JWT হেডারের মতো, JWT দাবি সেটটি একটি JSON অবজেক্ট এবং স্বাক্ষরের গণনায় ব্যবহৃত হয়।
প্রয়োজনীয় দাবি
JWT দাবি সেটে প্রয়োজনীয় দাবিগুলি নীচে দেখানো হয়েছে। তারা দাবি সেটে যেকোনো ক্রমে উপস্থিত হতে পারে।
নাম | বর্ণনা |
---|---|
iss | পরিষেবা অ্যাকাউন্টের ইমেল ঠিকানা। |
scope | অ্যাপ্লিকেশানের অনুরোধের অনুমতিগুলির একটি স্থান-বিভাজিত তালিকা৷ |
aud | দাবীর উদ্দিষ্ট লক্ষ্যের একটি বর্ণনাকারী। একটি অ্যাক্সেস টোকেন অনুরোধ করার সময় এই মানটি সর্বদা https://oauth2.googleapis.com/token হয়। |
exp | দাবীর মেয়াদ শেষ হওয়ার সময়, 00:00:00 UTC, 1 জানুয়ারী, 1970 থেকে সেকেন্ড হিসাবে নির্দিষ্ট করা হয়েছে। জারি করা সময়ের পরে এই মানটির সর্বোচ্চ 1 ঘন্টা রয়েছে। |
iat | দাবীটি জারি করার সময়, 00:00:00 UTC, জানুয়ারী 1, 1970 থেকে সেকেন্ড হিসাবে নির্দিষ্ট করা হয়েছে। |
একটি JWT দাবি সেটে প্রয়োজনীয় ক্ষেত্রগুলির JSON প্রতিনিধিত্ব নীচে দেখানো হয়েছে:
{ "iss": "761326798069-r5mljlln1rd4lrbhg75efgigp36m78j5@developer.gserviceaccount.com", "scope": "https://www.googleapis.com/auth/devstorage.read_only", "aud": "https://oauth2.googleapis.com/token", "exp": 1328554385, "iat": 1328550785 }
অতিরিক্ত দাবি
কিছু এন্টারপ্রাইজ ক্ষেত্রে, একটি অ্যাপ্লিকেশন একটি প্রতিষ্ঠানের একটি নির্দিষ্ট ব্যবহারকারীর পক্ষে কাজ করার জন্য ডোমেন-ব্যাপী প্রতিনিধিত্ব ব্যবহার করতে পারে। কোনও অ্যাপ্লিকেশন কোনও ব্যবহারকারীর ছদ্মবেশ ধারণ করার আগে এই ধরণের ছদ্মবেশ সঞ্চালনের অনুমতি অবশ্যই দেওয়া উচিত, এবং এটি সাধারণত একজন সুপার অ্যাডমিনিস্ট্রেটর দ্বারা পরিচালিত হয়। আরও তথ্যের জন্য, ডোমেন-ওয়াইড ডেলিগেশন সহ API অ্যাক্সেস নিয়ন্ত্রণ দেখুন।
একটি অ্যাকসেস টোকেন পেতে যা একটি রিসোর্সে একটি অ্যাপ্লিকেশনকে অর্পিত অ্যাক্সেস মঞ্জুর করে, sub
ফিল্ডের মান হিসাবে সেট করা JWT দাবিতে ব্যবহারকারীর ইমেল ঠিকানা অন্তর্ভুক্ত করুন।
নাম | বর্ণনা |
---|---|
sub | ব্যবহারকারীর ইমেল ঠিকানা যার জন্য অ্যাপ্লিকেশনটি অর্পিত অ্যাক্সেসের অনুরোধ করছে৷ |
যদি কোনো অ্যাপ্লিকেশনের কোনো ব্যবহারকারীর ছদ্মবেশী করার অনুমতি না থাকে, তাহলে sub
ক্ষেত্র অন্তর্ভুক্ত একটি অ্যাক্সেস টোকেন অনুরোধের প্রতিক্রিয়া একটি ত্রুটি হবে।
একটি JWT দাবি সেটের একটি উদাহরণ যা sub
ক্ষেত্র অন্তর্ভুক্ত করে নীচে দেখানো হয়েছে:
{ "iss": "761326798069-r5mljlln1rd4lrbhg75efgigp36m78j5@developer.gserviceaccount.com", "sub": "some.user@example.com", "scope": "https://www.googleapis.com/auth/prediction", "aud": "https://oauth2.googleapis.com/token", "exp": 1328554385, "iat": 1328550785 }
JWT দাবি সেট এনকোডিং
JWT হেডারের মতো, JWT দাবি সেটটি UTF-8 এবং Base64url-নিরাপদ এনকোডে সিরিয়াল করা উচিত। নীচে একটি JWT দাবি সেটের JSON প্রতিনিধিত্বের একটি উদাহরণ রয়েছে:
{ "iss": "761326798069-r5mljlln1rd4lrbhg75efgigp36m78j5@developer.gserviceaccount.com", "scope": "https://www.googleapis.com/auth/prediction", "aud": "https://oauth2.googleapis.com/token", "exp": 1328554385, "iat": 1328550785 }
স্বাক্ষর গণনা
JSON ওয়েব স্বাক্ষর (JWS) হল সেই স্পেসিফিকেশন যা JWT-এর জন্য স্বাক্ষর তৈরি করার মেকানিক্সকে নির্দেশ করে। স্বাক্ষরের জন্য ইনপুট হল নিম্নলিখিত বিষয়বস্তুর বাইট অ্যারে:
{Base64url encoded header}.{Base64url encoded claim set}
স্বাক্ষর গণনা করার সময় JWT হেডারে সাইনিং অ্যালগরিদম ব্যবহার করতে হবে। Google OAuth 2.0 অনুমোদন সার্ভার দ্বারা সমর্থিত একমাত্র সাইনিং অ্যালগরিদম হল SHA-256 হ্যাশিং অ্যালগরিদম ব্যবহার করে RSA৷ এটি JWT হেডারে alg
ক্ষেত্রে RS256
হিসাবে প্রকাশ করা হয়েছে।
থেকে প্রাপ্ত ব্যক্তিগত কী দিয়ে SHA256withRSA (SHA-256 হ্যাশ ফাংশনের সাথে RSASSA-PKCS1-V1_5-SIGN নামেও পরিচিত) ব্যবহার করে ইনপুটের UTF-8 উপস্থাপনাটিতে স্বাক্ষর করুন Google API Console. আউটপুট একটি বাইট অ্যারে হবে।
স্বাক্ষরটি অবশ্যই বেস 64 ইউআরএল এনকোড করা উচিত। শিরোনাম, দাবি সেট, এবং স্বাক্ষর একটি পিরিয়ড ( .
) অক্ষরের সাথে একত্রিত হয়৷ ফলাফল জেডব্লিউটি। এটি নিম্নলিখিত হওয়া উচিত (স্বচ্ছতার জন্য লাইন বিরতি যোগ করা হয়েছে):
{Base64url encoded header}. {Base64url encoded claim set}. {Base64url encoded signature}
নীচে Base64url এনকোডিংয়ের আগে একটি JWT-এর উদাহরণ দেওয়া হল:
{"alg":"RS256","typ":"JWT"}. { "iss":"761326798069-r5mljlln1rd4lrbhg75efgigp36m78j5@developer.gserviceaccount.com", "scope":"https://www.googleapis.com/auth/prediction", "aud":"https://oauth2.googleapis.com/token", "exp":1328554385, "iat":1328550785 }. [signature bytes]
নীচে একটি JWT এর একটি উদাহরণ যা স্বাক্ষরিত হয়েছে এবং সংক্রমণের জন্য প্রস্তুত:
eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiI3NjEzMjY3OTgwNjktcjVtbGpsbG4xcmQ0bHJiaGc3NWVmZ2lncDM2bTc4ajVAZGV2ZWxvcGVyLmdzZXJ2aWNlYWNjb3VudC5jb20iLCJzY29wZSI6Imh0dHBzOi8vd3d3Lmdvb2dsZWFwaXMuY29tL2F1dGgvcHJlZGljdGlvbiIsImF1ZCI6Imh0dHBzOi8vd3d3Lmdvb2dsZWFwaXMuY29tL29hdXRoMi92NC90b2tlbiIsImV4cCI6MTMyODU1NDM4NSwiaWF0IjoxMzI4NTUwNzg1fQ.UFUt59SUM2_AW4cRU8Y0BYVQsNTo4n7AFsNrqOpYiICDu37vVt-tw38UKzjmUKtcRsLLjrR3gFW3dNDMx_pL9DVjgVHDdYirtrCekUHOYoa1CMR66nxep5q5cBQ4y4u2kIgSvChCTc9pmLLNoIem-ruCecAJYgI9Ks7pTnW1gkOKs0x3YpiLpzplVHAkkHztaXiJdtpBcY1OXyo6jTQCa3Lk2Q3va1dPkh_d--GU2M5flgd8xNBPYw4vxyt0mP59XZlHMpztZt0soSgObf7G3GXArreF_6tpbFsS3z2t5zkEiHuWJXpzcYr5zWTRPDEHsejeBSG8EgpLDce2380ROQ
অ্যাক্সেস টোকেন অনুরোধ করা হচ্ছে
স্বাক্ষরিত JWT তৈরি করার পরে, একটি অ্যাপ্লিকেশন এটি ব্যবহার করে একটি অ্যাক্সেস টোকেন অনুরোধ করতে পারে। এই অ্যাক্সেস টোকেন অনুরোধটি একটি HTTPS POST
অনুরোধ, এবং মূল অংশটি URL এনকোডেড। URLটি নীচে দেখানো হয়েছে:
https://oauth2.googleapis.com/token
HTTPS POST
অনুরোধে নিম্নলিখিত পরামিতিগুলি প্রয়োজন:
নাম | বর্ণনা |
---|---|
grant_type | নিম্নলিখিত স্ট্রিং ব্যবহার করুন, প্রয়োজনে ইউআরএল-এনকোড করা: urn:ietf:params:oauth:grant-type:jwt-bearer |
assertion | স্বাক্ষর সহ JWT. |
নীচে একটি অ্যাক্সেস টোকেন অনুরোধে ব্যবহৃত HTTPS POST
অনুরোধের একটি কাঁচা ডাম্প রয়েছে:
POST /token HTTP/1.1 Host: oauth2.googleapis.com Content-Type: application/x-www-form-urlencoded grant_type=urn%3Aietf%3Aparams%3Aoauth%3Agrant-type%3Ajwt-bearer&assertion=eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiI3NjEzMjY3OTgwNjktcjVtbGpsbG4xcmQ0bHJiaGc3NWVmZ2lncDM2bTc4ajVAZGV2ZWxvcGVyLmdzZXJ2aWNlYWNjb3VudC5jb20iLCJzY29wZSI6Imh0dHBzOi8vd3d3Lmdvb2dsZWFwaXMuY29tL2F1dGgvcHJlZGljdGlvbiIsImF1ZCI6Imh0dHBzOi8vYWNjb3VudHMuZ29vZ2xlLmNvbS9vL29hdXRoMi90b2tlbiIsImV4cCI6MTMyODU3MzM4MSwiaWF0IjoxMzI4NTY5NzgxfQ.ixOUGehweEVX_UKXv5BbbwVEdcz6AYS-6uQV6fGorGKrHf3LIJnyREw9evE-gs2bmMaQI5_UbabvI4k-mQE4kBqtmSpTzxYBL1TCd7Kv5nTZoUC1CmwmWCFqT9RE6D7XSgPUh_jF1qskLa2w0rxMSjwruNKbysgRNctZPln7cqQ
curl
ব্যবহার করে নীচে একই অনুরোধ রয়েছে:
curl -d 'grant_type=urn%3Aietf%3Aparams%3Aoauth%3Agrant-type%3Ajwt-bearer&assertion=eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiI3NjEzMjY3OTgwNjktcjVtbGpsbG4xcmQ0bHJiaGc3NWVmZ2lncDM2bTc4ajVAZGV2ZWxvcGVyLmdzZXJ2aWNlYWNjb3VudC5jb20iLCJzY29wZSI6Imh0dHBzOi8vd3d3Lmdvb2dsZWFwaXMuY29tL2F1dGgvcHJlZGljdGlvbiIsImF1ZCI6Imh0dHBzOi8vYWNjb3VudHMuZ29vZ2xlLmNvbS9vL29hdXRoMi90b2tlbiIsImV4cCI6MTMyODU3MzM4MSwiaWF0IjoxMzI4NTY5NzgxfQ.RZVpzWygMLuL-n3GwjW1_yhQhrqDacyvaXkuf8HcJl8EtXYjGjMaW5oiM5cgAaIorrqgYlp4DPF_GuncFqg9uDZrx7pMmCZ_yHfxhSCXru3gbXrZvAIicNQZMFxrEEn4REVuq7DjkTMyCMGCY1dpMa8aWfTQFt3Eh7smLchaZsU ' https://oauth2.googleapis.com/token
প্রতিক্রিয়া হ্যান্ডলিং
যদি JWT এবং অ্যাক্সেস টোকেন অনুরোধ সঠিকভাবে গঠিত হয় এবং পরিষেবা অ্যাকাউন্টের অপারেশন করার অনুমতি থাকে, তাহলে অনুমোদন সার্ভার থেকে JSON প্রতিক্রিয়া একটি অ্যাক্সেস টোকেন অন্তর্ভুক্ত করে। নিম্নলিখিত একটি উদাহরণ প্রতিক্রিয়া:
{ "access_token": "1/8xbJqaOZXSUZbHLl5EOtu1pxz3fmmetKx9W8CV4t79M", "scope": "https://www.googleapis.com/auth/prediction" "token_type": "Bearer", "expires_in": 3600 }
expires_in
মান দ্বারা নির্দিষ্ট সময়কাল উইন্ডো চলাকালীন অ্যাক্সেস টোকেনগুলি পুনরায় ব্যবহার করা যেতে পারে।
Google API কল করা হচ্ছে
জাভা
নিম্নলিখিত পদক্ষেপগুলি সম্পূর্ণ করে Google API কল করতে GoogleCredential
অবজেক্ট ব্যবহার করুন:
- এপিআইয়ের জন্য একটি পরিষেবা অবজেক্ট তৈরি করুন যা আপনি
GoogleCredential
অবজেক্ট ব্যবহার করে কল করতে চান। যেমন:SQLAdmin sqladmin = new SQLAdmin.Builder(httpTransport, JSON_FACTORY, credential).build();
- সার্ভিস অবজেক্ট দ্বারা প্রদত্ত ইন্টারফেস ব্যবহার করে API পরিষেবাতে অনুরোধ করুন। উদাহরণস্বরূপ, উত্তেজনাপূর্ণ-উদাহরণ-123 প্রকল্পে ক্লাউড এসকিউএল ডাটাবেসের উদাহরণ তালিকাভুক্ত করতে:
SQLAdmin.Instances.List instances = sqladmin.instances().list("exciting-example-123").execute();
পাইথন
নিম্নলিখিত পদক্ষেপগুলি সম্পূর্ণ করে Google API কল করতে অনুমোদিত Credentials
অবজেক্ট ব্যবহার করুন:
- আপনি যে APIটি কল করতে চান তার জন্য একটি পরিষেবা বস্তু তৈরি করুন। আপনি API এর নাম এবং সংস্করণ এবং অনুমোদিত
Credentials
অবজেক্ট সহbuild
ফাংশন কল করে একটি পরিষেবা অবজেক্ট তৈরি করেন। উদাহরণস্বরূপ, ক্লাউড এসকিউএল অ্যাডমিনিস্ট্রেশন এপিআই-এর সংস্করণ 1beta3 কল করতে:import googleapiclient.discovery sqladmin = googleapiclient.discovery.build('sqladmin', 'v1beta3', credentials=credentials)
- সার্ভিস অবজেক্ট দ্বারা প্রদত্ত ইন্টারফেস ব্যবহার করে API পরিষেবাতে অনুরোধ করুন। উদাহরণস্বরূপ, উত্তেজনাপূর্ণ-উদাহরণ-123 প্রকল্পে ক্লাউড এসকিউএল ডাটাবেসের উদাহরণ তালিকাভুক্ত করতে:
response = sqladmin.instances().list(project='exciting-example-123').execute()
HTTP/REST
আপনার অ্যাপ্লিকেশনটি একটি অ্যাক্সেস টোকেন পাওয়ার পরে, যদি API দ্বারা প্রয়োজনীয় অ্যাক্সেসের সুযোগ মঞ্জুর করা হয় তবে আপনি একটি প্রদত্ত পরিষেবা অ্যাকাউন্ট বা ব্যবহারকারীর অ্যাকাউন্টের হয়ে একটি Google API এ কল করতে টোকেনটি ব্যবহার করতে পারেন। এটি করার জন্য, একটি access_token
ক্যোয়ারী প্যারামিটার বা একটি Authorization
HTTP শিরোনাম Bearer
মান অন্তর্ভুক্ত করে API-এর একটি অনুরোধে অ্যাক্সেস টোকেন অন্তর্ভুক্ত করুন। যখন সম্ভব, HTTP শিরোনামটি পছন্দনীয়, কারণ সার্ভার লগগুলিতে কোয়েরি স্ট্রিংগুলি দৃশ্যমান হয়। বেশিরভাগ ক্ষেত্রে আপনি Google API-এ আপনার কলগুলি সেট আপ করতে একটি ক্লায়েন্ট লাইব্রেরি ব্যবহার করতে পারেন (উদাহরণস্বরূপ, ড্রাইভ ফাইল API কল করার সময়)।
আপনি সমস্ত Google API ব্যবহার করে দেখতে পারেন এবং OAuth 2.0 খেলার মাঠে তাদের স্কোপ দেখতে পারেন।
HTTP GET উদাহরণ
অনুমোদন ব্যবহার করে drive.files
এন্ডপয়েন্টে (ড্রাইভ ফাইল এপিআই) একটি কল Authorization: Bearer
HTTP হেডার নিচের মত দেখতে হতে পারে। মনে রাখবেন যে আপনাকে আপনার নিজস্ব অ্যাক্সেস টোকেন নির্দিষ্ট করতে হবে:
GET /drive/v2/files HTTP/1.1 Host: www.googleapis.com Authorization: Bearer access_token
এখানে access_token
ক্যোয়ারী স্ট্রিং প্যারামিটার ব্যবহার করে প্রমাণীকৃত ব্যবহারকারীর জন্য একই API-তে একটি কল রয়েছে:
GET https://www.googleapis.com/drive/v2/files?access_token=access_token
curl
উদাহরণ
আপনি curl
কমান্ড-লাইন অ্যাপ্লিকেশনের মাধ্যমে এই কমান্ডগুলি পরীক্ষা করতে পারেন। এখানে একটি উদাহরণ যা HTTP হেডার বিকল্প ব্যবহার করে (পছন্দের):
curl -H "Authorization: Bearer access_token" https://www.googleapis.com/drive/v2/files
অথবা, বিকল্পভাবে, ক্যোয়ারী স্ট্রিং প্যারামিটার বিকল্প:
curl https://www.googleapis.com/drive/v2/files?access_token=access_token
অ্যাক্সেস টোকেন মেয়াদ শেষ হয়ে গেলে
Google OAuth 2.0 অনুমোদন সার্ভার দ্বারা জারি করা অ্যাক্সেস টোকেন expires_in
মান দ্বারা প্রদত্ত সময়কালের পরে মেয়াদ শেষ হয়ে যায়। যখন একটি অ্যাক্সেস টোকেনের মেয়াদ শেষ হয়ে যায়, তখন অ্যাপ্লিকেশনটির অন্য একটি JWT তৈরি করা উচিত, এটিতে স্বাক্ষর করা উচিত এবং আরেকটি অ্যাক্সেস টোকেনের অনুরোধ করা উচিত।
JWT ত্রুটি কোড
error ক্ষেত্র | error_description ক্ষেত্র | অর্থ | কিভাবে সমাধান করা যায় |
---|---|---|---|
unauthorized_client | Unauthorized client or scope in request. | আপনি ডোমেন-ওয়াইড ডেলিগেশন ব্যবহার করার চেষ্টা করলে, পরিষেবা অ্যাকাউন্ট ব্যবহারকারীর ডোমেনের অ্যাডমিন কনসোলে অনুমোদিত নয়। | নিশ্চিত করুন যে পরিষেবা অ্যাকাউন্টটি যদিও এটি সাধারণত কয়েক মিনিট সময় নেয়, আপনার Google অ্যাকাউন্টের সমস্ত ব্যবহারকারীর কাছে অনুমোদনের জন্য এটি 24 ঘন্টা পর্যন্ত সময় নিতে পারে৷ |
unauthorized_client | Client is unauthorized to retrieve access tokens using this method, or client not authorized for any of the scopes requested. | অ্যাডমিন কনসোলে ক্লায়েন্ট আইডি (সংখ্যাসূচক) এর পরিবর্তে ক্লায়েন্ট ইমেল ঠিকানা ব্যবহার করে একটি পরিষেবা অ্যাকাউন্ট অনুমোদিত হয়েছিল৷ | অ্যাডমিন কনসোলে ডোমেন-ওয়াইড ডেলিগেশন পৃষ্ঠায়, ক্লায়েন্টকে সরিয়ে দিন এবং সাংখ্যিক ID দিয়ে আবার যোগ করুন। |
access_denied | (যে কোন মান) | আপনি ডোমেন-ওয়াইড ডেলিগেশন ব্যবহার করলে, অ্যাডমিন কনসোলে এক বা একাধিক অনুরোধ করা স্কোপ অনুমোদিত নয়। | নিশ্চিত করুন যে পরিষেবা অ্যাকাউন্টটি অ্যাডমিন কনসোলের ডোমেন-ওয়াইড প্রতিনিধি পৃষ্ঠায় যদিও এটি সাধারণত কয়েক মিনিট সময় নেয়, আপনার Google অ্যাকাউন্টের সমস্ত ব্যবহারকারীর কাছে অনুমোদনের জন্য এটি 24 ঘন্টা পর্যন্ত সময় নিতে পারে৷ |
admin_policy_enforced | (যে কোন মান) | Google অ্যাকাউন্ট তাদের Google Workspace অ্যাডমিনিস্ট্রেটরের নীতির কারণে অনুরোধ করা এক বা একাধিক স্কোপের অনুমোদন দিতে পারে না। | আপনার OAuth ক্লায়েন্ট আইডিতে স্পষ্টভাবে অ্যাক্সেস না দেওয়া পর্যন্ত অ্যাডমিনিস্ট্রেটর কীভাবে সমস্ত স্কোপ বা সংবেদনশীল এবং সীমাবদ্ধ স্কোপের অ্যাক্সেস সীমাবদ্ধ করতে পারে সে সম্পর্কে আরও তথ্যের জন্য কোন থার্ড-পার্টি এবং অভ্যন্তরীণ অ্যাপগুলি Google Workspace ডেটা অ্যাক্সেস করে তা নিয়ন্ত্রণ করুন Google Workspace অ্যাডমিন সহায়তা নিবন্ধটি দেখুন। |
invalid_client | (যে কোন মান) | OAuth ক্লায়েন্ট বা JWT টোকেন অবৈধ বা ভুলভাবে কনফিগার করা হয়েছে। বিস্তারিত জানার জন্য ত্রুটি বিবরণ পড়ুন. | নিশ্চিত করুন যে JWT টোকেনটি বৈধ এবং এতে সঠিক দাবি রয়েছে। OAuth ক্লায়েন্ট এবং পরিষেবা অ্যাকাউন্ট সঠিকভাবে কনফিগার করা হয়েছে এবং আপনি সঠিক ইমেল ঠিকানা ব্যবহার করছেন কিনা তা পরীক্ষা করুন। JWT টোকেনটি সঠিক এবং অনুরোধে ক্লায়েন্ট আইডির জন্য জারি করা হয়েছে কিনা তা পরীক্ষা করুন। |
invalid_grant | Not a valid email. | ব্যবহারকারীর অস্তিত্ব নেই। | sub ক্লেইমের (ক্ষেত্র) ইমেল ঠিকানাটি সঠিক কিনা তা পরীক্ষা করুন। |
invalid_grant | | সাধারণত, এর অর্থ স্থানীয় সিস্টেমের সময় সঠিক নয়। এটাও ঘটতে পারে যদি ভবিষ্যতে exp মান iat মান থেকে 65 মিনিটের বেশি হয়, অথবা exp মান iat মানের থেকে কম হয়। | JWT তৈরি করা সিস্টেমের ঘড়িটি সঠিক কিনা তা নিশ্চিত করুন। প্রয়োজন হলে, Google NTP-এর সাথে আপনার সময় সিঙ্ক করুন। |
invalid_grant | Invalid JWT Signature. | JWT দাবীটি ক্লায়েন্ট ইমেল দ্বারা চিহ্নিত পরিষেবা অ্যাকাউন্টের সাথে সম্পর্কিত নয় এমন একটি ব্যক্তিগত কী দিয়ে স্বাক্ষর করা হয়েছে বা ব্যবহৃত কীটি মুছে ফেলা হয়েছে, অক্ষম করা হয়েছে বা মেয়াদ শেষ হয়ে গেছে। বিকল্পভাবে, JWT দাবিটি ভুলভাবে এনকোড করা হতে পারে - এটি অবশ্যই Base64-এনকোডেড হতে হবে, নতুন লাইন বা প্যাডিং সমান চিহ্ন ছাড়াই। | JWT দাবি সেটটি ডিকোড করুন এবং দাবিতে স্বাক্ষরকারী কীটি পরিষেবা অ্যাকাউন্টের সাথে যুক্ত তা যাচাই করুন। JWT সঠিকভাবে তৈরি হয়েছে তা নিশ্চিত করতে Google-প্রদত্ত OAuth লাইব্রেরি ব্যবহার করার চেষ্টা করুন। |
invalid_scope | Invalid OAuth scope or ID token audience provided. | কোন স্কোপের অনুরোধ করা হয়নি (স্কোপের খালি তালিকা), বা অনুরোধ করা স্কোপের একটি বিদ্যমান নেই (অর্থাৎ অবৈধ)। | নিশ্চিত করুন যে JWT-এর মনে রাখবেন যে |
disabled_client | The OAuth client was disabled. | JWT দাবীতে স্বাক্ষর করার জন্য ব্যবহৃত কীটি নিষ্ক্রিয়। | যান Google API Console, এবং IAM & Admin > Service Accounts-এর অধীনে, যে পরিষেবার অ্যাকাউন্টে "কী আইডি" আছে দাবীতে স্বাক্ষর করতে ব্যবহৃত হয় সেটি সক্রিয় করুন। |
org_internal | This client is restricted to users within its organization. | অনুরোধে OAuth ক্লায়েন্ট আইডি একটি নির্দিষ্ট Google ক্লাউড সংস্থার Google অ্যাকাউন্টগুলিতে অ্যাক্সেস সীমিত করে এমন একটি প্রকল্পের অংশ৷ | প্রমাণীকরণের জন্য প্রতিষ্ঠানের একটি পরিষেবা অ্যাকাউন্ট ব্যবহার করুন। আপনার OAuth অ্যাপ্লিকেশনের জন্য ব্যবহারকারীর প্রকার কনফিগারেশন নিশ্চিত করুন। |
সংযোজন: OAuth ছাড়া পরিষেবা অ্যাকাউন্ট অনুমোদন
কিছু Google API-এর সাথে, আপনি OAuth 2.0 অ্যাক্সেস টোকেনের পরিবর্তে সরাসরি একটি বাহক টোকেন হিসাবে স্বাক্ষরিত JWT ব্যবহার করে অনুমোদিত API কল করতে পারেন। যখন এটি সম্ভব হয়, আপনি একটি API কল করার আগে Google এর অনুমোদন সার্ভারে একটি নেটওয়ার্ক অনুরোধ করা এড়াতে পারেন৷
আপনি যে API কল করতে চান তার যদি Google APIs GitHub রিপোজিটরিতে প্রকাশিত একটি পরিষেবা সংজ্ঞা থাকে, তাহলে আপনি অ্যাক্সেস টোকেনের পরিবর্তে একটি JWT ব্যবহার করে অনুমোদিত API কল করতে পারেন। এটি করতে:
- উপরে বর্ণিত হিসাবে একটি পরিষেবা অ্যাকাউন্ট তৈরি করুন । আপনি অ্যাকাউন্ট তৈরি করার সময় আপনি যে JSON ফাইলটি পাবেন তা রাখতে ভুলবেন না।
- যেকোন স্ট্যান্ডার্ড JWT লাইব্রেরি ব্যবহার করে, যেমন jwt.io এ পাওয়া যায়, নিচের উদাহরণের মত হেডার এবং পেলোড সহ একটি JWT তৈরি করুন:
{ "alg": "RS256", "typ": "JWT", "kid": "abcdef1234567890" } . { "iss": "123456-compute@developer.gserviceaccount.com", "sub": "123456-compute@developer.gserviceaccount.com", "aud": "https://firestore.googleapis.com/", "iat": 1511900000, "exp": 1511903600 }
- হেডারে
kid
ক্ষেত্রের জন্য, আপনার পরিষেবা অ্যাকাউন্টের ব্যক্তিগত কী আইডি নির্দিষ্ট করুন। আপনি আপনার পরিষেবা অ্যাকাউন্ট JSON ফাইলেরprivate_key_id
ক্ষেত্রে এই মানটি খুঁজে পেতে পারেন। -
iss
এবংsub
ক্ষেত্রগুলির জন্য, আপনার পরিষেবা অ্যাকাউন্টের ইমেল ঠিকানা উল্লেখ করুন। আপনি আপনার পরিষেবা অ্যাকাউন্ট JSON ফাইলেরclient_email
ক্ষেত্রে এই মানটি খুঁজে পেতে পারেন। -
aud
ফিল্ডের জন্য, API এন্ডপয়েন্ট নির্দিষ্ট করুন। উদাহরণস্বরূপ:https:// SERVICE .googleapis.com/
। -
iat
ক্ষেত্রের জন্য, বর্তমান ইউনিক্স সময় নির্দিষ্ট করুন, এবংexp
ক্ষেত্রের জন্য, ঠিক 3600 সেকেন্ড পরে, কখন JWT মেয়াদ শেষ হবে তা নির্দিষ্ট করুন।
আপনার পরিষেবা অ্যাকাউন্ট JSON ফাইলে পাওয়া ব্যক্তিগত কী ব্যবহার করে RSA-256 দিয়ে JWT-এ স্বাক্ষর করুন।
যেমন:
জাভা
google-api-java-client এবং java-jwt ব্যবহার করে:
GoogleCredential credential = GoogleCredential.fromStream(new FileInputStream("MyProject-1234.json")); PrivateKey privateKey = credential.getServiceAccountPrivateKey(); String privateKeyId = credential.getServiceAccountPrivateKeyId(); long now = System.currentTimeMillis(); try { Algorithm algorithm = Algorithm.RSA256(null, privateKey); String signedJwt = JWT.create() .withKeyId(privateKeyId) .withIssuer("123456-compute@developer.gserviceaccount.com") .withSubject("123456-compute@developer.gserviceaccount.com") .withAudience("https://firestore.googleapis.com/") .withIssuedAt(new Date(now)) .withExpiresAt(new Date(now + 3600 * 1000L)) .sign(algorithm); } catch ...
পাইথন
PyJWT ব্যবহার করে:
iat = time.time() exp = iat + 3600 payload = {'iss': '123456-compute@developer.gserviceaccount.com', 'sub': '123456-compute@developer.gserviceaccount.com', 'aud': 'https://firestore.googleapis.com/', 'iat': iat, 'exp': exp} additional_headers = {'kid': PRIVATE_KEY_ID_FROM_JSON} signed_jwt = jwt.encode(payload, PRIVATE_KEY_FROM_JSON, headers=additional_headers, algorithm='RS256')
- বাহক টোকেন হিসাবে স্বাক্ষরিত JWT ব্যবহার করে API-কে কল করুন:
GET /v1/projects/abc/databases/123/indexes HTTP/1.1 Authorization: Bearer SIGNED_JWT Host: firestore.googleapis.com
ক্রস-অ্যাকাউন্ট সুরক্ষা বাস্তবায়ন করা
Google-এর ক্রস-অ্যাকাউন্ট সুরক্ষা পরিষেবা ব্যবহার করে ক্রস-অ্যাকাউন্ট সুরক্ষা বাস্তবায়ন করা হল আপনার ব্যবহারকারীদের অ্যাকাউন্টগুলিকে সুরক্ষিত করার জন্য একটি অতিরিক্ত পদক্ষেপ। এই পরিষেবাটি আপনাকে নিরাপত্তা ইভেন্ট বিজ্ঞপ্তিগুলিতে সদস্যতা নিতে দেয় যা ব্যবহারকারীর অ্যাকাউন্টে বড় পরিবর্তন সম্পর্কে আপনার অ্যাপ্লিকেশনে তথ্য প্রদান করে। তারপরে আপনি কীভাবে ইভেন্টগুলিতে প্রতিক্রিয়া জানাবেন তার উপর নির্ভর করে পদক্ষেপ নিতে আপনি তথ্য ব্যবহার করতে পারেন।
Google-এর ক্রস-অ্যাকাউন্ট সুরক্ষা পরিষেবা দ্বারা আপনার অ্যাপে পাঠানো ইভেন্ট প্রকারের কিছু উদাহরণ হল:
-
https://schemas.openid.net/secevent/risc/event-type/sessions-revoked
-
https://schemas.openid.net/secevent/oauth/event-type/token-revoked
-
https://schemas.openid.net/secevent/risc/event-type/account-disabled
ক্রস-অ্যাকাউন্ট সুরক্ষা কীভাবে প্রয়োগ করতে হয় এবং উপলব্ধ ইভেন্টগুলির সম্পূর্ণ তালিকার জন্য আরও তথ্যের জন্য ক্রস-অ্যাকাউন্ট সুরক্ষার সাথে ব্যবহারকারীর অ্যাকাউন্টগুলিকে সুরক্ষিত করুন দেখুন৷