백엔드 서버와 통신하는 앱 또는 사이트에서 Google 로그인을 사용하는 경우 서버에 현재 로그인한 사용자를 식별해야 할 수 있습니다. 이를 위해 사용자가 정상적으로 로그인한 후에 HTTPS를 사용하여 사용자의 ID 토큰을 서버로 전송합니다. 그런 다음 서버에서 ID 토큰의 무결성을 확인하고 토큰에 포함된 사용자 정보를 사용하여 세션을 설정하거나 새 계정을 만듭니다.
서버로 ID 토큰 전송
먼저 사용자가 로그인하면 다음과 같이 ID 토큰을 가져옵니다.
-
Google 로그인을 구성할 때
requestIdToken
메서드를 호출하고 서버의 웹 클라이언트 ID를 전달합니다.// Request only the user's ID token, which can be used to identify the // user securely to your backend. This will contain the user's basic // profile (name, profile picture URL, etc) so you should not need to // make an additional call to personalize your application. GoogleSignInOptions gso = new GoogleSignInOptions.Builder(GoogleSignInOptions.DEFAULT_SIGN_IN) .requestIdToken(getString(R.string.server_client_id)) .requestEmail() .build();
-
앱이 시작되면
silentSignIn
를 호출하여 사용자가 이 기기 또는 다른 기기에서 Google을 통해 이미 앱에 로그인했는지 확인합니다.GoogleSignIn.silentSignIn() .addOnCompleteListener( this, new OnCompleteListener<GoogleSignInAccount>() { @Override public void onComplete(@NonNull Task<GoogleSignInAccount> task) { handleSignInResult(task); } });
-
사용자가 자동으로 로그인할 수 없는 경우 로그아웃 상태의 일반적인 환경을 표시하여 사용자에게 로그인 옵션을 제공합니다. 사용자가 로그인하면 로그인 인텐트의 활동 결과에서 사용자의
GoogleSignInAccount
를 가져옵니다.// This task is always completed immediately, there is no need to attach an // asynchronous listener. Task<GoogleSignInAccount> task = GoogleSignIn.getSignedInAccountFromIntent(data); handleSignInResult(task);
-
사용자가 자동 또는 명시적으로 로그인한 후
GoogleSignInAccount
객체에서 ID 토큰을 가져옵니다.private void handleSignInResult(@NonNull Task<GoogleSignInAccount> completedTask) { try { GoogleSignInAccount account = completedTask.getResult(ApiException.class); String idToken = account.getIdToken(); // TODO(developer): send ID Token to server and validate updateUI(account); } catch (ApiException e) { Log.w(TAG, "handleSignInResult:error", e); updateUI(null); } }
그런 다음 HTTPS POST 요청을 사용하여 ID 토큰을 서버로 전송합니다.
HttpClient httpClient = new DefaultHttpClient(); HttpPost httpPost = new HttpPost("https://yourbackend.example.com/tokensignin"); try { List<NameValuePair> nameValuePairs = new ArrayList<NameValuePair>(1); nameValuePairs.add(new BasicNameValuePair("idToken", idToken)); httpPost.setEntity(new UrlEncodedFormEntity(nameValuePairs)); HttpResponse response = httpClient.execute(httpPost); int statusCode = response.getStatusLine().getStatusCode(); final String responseBody = EntityUtils.toString(response.getEntity()); Log.i(TAG, "Signed in as: " + responseBody); } catch (ClientProtocolException e) { Log.e(TAG, "Error sending ID token to backend.", e); } catch (IOException e) { Log.e(TAG, "Error sending ID token to backend.", e); }
ID 토큰의 무결성 확인
HTTPS POST로 ID 토큰을 수신한 후에는 토큰의 무결성을 확인해야 합니다.
如需验证令牌是否有效,请确保: 满足条件:
- ID 令牌已由 Google 正确签名。使用 Google 的公钥
(适用于
JWK 或
PEM 格式)
以验证令牌的签名。这些密钥会定期轮替:检查
响应中的
Cache-Control
标头来确定何时 您应该再次检索它们。 - ID 令牌中
aud
的值等于您应用的某个 客户端 ID必须进行此检查,以防止向恶意 应用用于访问应用的后端服务器上的同一用户的相关数据。 - ID 令牌中
iss
的值等于accounts.google.com
或https://accounts.google.com
。 - ID 令牌的过期时间 (
exp
) 未过。 - 如果您需要验证 ID 令牌是否代表 Google Workspace 或 Cloud
组织账号时,您可以查看
hd
声明,该声明表示托管的 用户的网域。将资源访问权限限制为只有 特定网域。缺少此声明即表示相应账号不属于 Google 托管的域名。
您可以使用 email
、email_verified
和 hd
字段来确定
Google 负责托管电子邮件地址,并对其具有权威性。如果 Google 拥有权威性,
该用户就是所知的合法账号所有者,您可以跳过密码或其他输入框
验证方法。
Google 具有权威性的情形:
email
的后缀为@gmail.com
,这是一个 Gmail 账号。email_verified
为 true 且hd
已设置,这是 G Suite 账号。
用户无需使用 Gmail 或 G Suite 即可注册 Google 账号。时间
email
不包含 @gmail.com
后缀且 hd
不存在,Google 未
建议使用权威凭据和密码或其他验证方法进行验证
用户。email_verified
可能为 true,因为 Google 最初验证了
创建 Google 账号后,该用户会拥有第三方的所有权,
后,电子邮件账号可能已更改。
我们强烈建议不要自行编写代码来执行这些验证步骤,
建议您使用适用于您平台的 Google API 客户端库,
JWT 库。对于开发和调试,您可以调用我们的 tokeninfo
验证端点。
Google API 클라이언트 라이브러리 사용
Google API 클라이언트 라이브러리 중 하나 (예: 자바, Node.js PHP Python) 프로덕션 환경에서 Google ID 토큰의 유효성을 검사하는 데 권장되는 방법입니다.
<ph type="x-smartling-placeholder">Java에서 ID 토큰의 유효성을 검사하려면 GoogleIdTokenVerifier 객체에 대한 호출을 확인할 수 있습니다. 예를 들면 다음과 같습니다.
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken; import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload; import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier; ... GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory) // Specify the CLIENT_ID of the app that accesses the backend: .setAudience(Collections.singletonList(CLIENT_ID)) // Or, if multiple clients access the backend: //.setAudience(Arrays.asList(CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3)) .build(); // (Receive idTokenString by HTTPS POST) GoogleIdToken idToken = verifier.verify(idTokenString); if (idToken != null) { Payload payload = idToken.getPayload(); // Print user identifier String userId = payload.getSubject(); System.out.println("User ID: " + userId); // Get profile information from payload String email = payload.getEmail(); boolean emailVerified = Boolean.valueOf(payload.getEmailVerified()); String name = (String) payload.get("name"); String pictureUrl = (String) payload.get("picture"); String locale = (String) payload.get("locale"); String familyName = (String) payload.get("family_name"); String givenName = (String) payload.get("given_name"); // Use or store profile information // ... } else { System.out.println("Invalid ID token."); }
GoogleIdTokenVerifier.verify()
메서드가 JWT를 확인합니다.
서명, aud
클레임, iss
클레임 및
exp
소유권 주장.
ID 토큰이 Google Workspace 또는 Cloud를 나타내는지 확인해야 하는 경우
조직 계정의 경우 도메인 이름을 확인하여 hd
소유권 주장을 확인할 수 있습니다.
Payload.getHostedDomain()
메서드에서 반환됩니다.
소유권 주장 email
건이 계정을 도메인에서 관리하기에 충분하지 않습니다.
또는 조직이나 그 안에서 활용할 수 있습니다.
Node.js에서 ID 토큰을 검증하려면 Node.js용 Google 인증 라이브러리를 사용하세요. 라이브러리를 설치합니다.
npm install google-auth-library --save그런 다음
verifyIdToken()
함수를 호출합니다. 예를 들면 다음과 같습니다.
const {OAuth2Client} = require('google-auth-library'); const client = new OAuth2Client(); async function verify() { const ticket = await client.verifyIdToken({ idToken: token, audience: CLIENT_ID, // Specify the CLIENT_ID of the app that accesses the backend // Or, if multiple clients access the backend: //[CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3] }); const payload = ticket.getPayload(); const userid = payload['sub']; // If the request specified a Google Workspace domain: // const domain = payload['hd']; } verify().catch(console.error);
verifyIdToken
함수는
JWT 서명, aud
클레임, exp
클레임
및 iss
클레임.
ID 토큰이 Google Workspace 또는 Cloud를 나타내는지 확인해야 하는 경우
조직 계정에 대한 hd
클레임을 확인하면
사용자 도메인입니다. 리소스에 대한 액세스 권한을 구성원으로만 제한할 때 사용해야 합니다.
특정 도메인의 사용자를
관리할 수 있습니다 이 소유권 주장이 없으면 계정이 다음 항목에 속하지 않음을 나타냅니다.
Google에서 호스팅하는
도메인일 수 있습니다
PHP에서 ID 토큰의 유효성을 검사하려면 PHP용 Google API 클라이언트 라이브러리를 사용합니다. 라이브러리를 설치합니다 (예: Composer 사용).
composer require google/apiclient그런 다음
verifyIdToken()
함수를 호출합니다. 예를 들면 다음과 같습니다.
require_once 'vendor/autoload.php'; // Get $id_token via HTTPS POST. $client = new Google_Client(['client_id' => $CLIENT_ID]); // Specify the CLIENT_ID of the app that accesses the backend $payload = $client->verifyIdToken($id_token); if ($payload) { $userid = $payload['sub']; // If the request specified a Google Workspace domain //$domain = $payload['hd']; } else { // Invalid ID token }
verifyIdToken
함수는
JWT 서명, aud
클레임, exp
클레임
및 iss
클레임.
ID 토큰이 Google Workspace 또는 Cloud를 나타내는지 확인해야 하는 경우
조직 계정에 대한 hd
클레임을 확인하면
사용자 도메인입니다. 리소스에 대한 액세스 권한을 구성원으로만 제한할 때 사용해야 합니다.
특정 도메인의 사용자를
관리할 수 있습니다 이 소유권 주장이 없으면 계정이 다음 항목에 속하지 않음을 나타냅니다.
Google에서 호스팅하는
도메인일 수 있습니다
Python에서 ID 토큰의 유효성을 검사하려면 verify_oauth2_token 함수를 사용하세요. 예를 들면 다음과 같습니다.
from google.oauth2 import id_token from google.auth.transport import requests # (Receive token by HTTPS POST) # ... try: # Specify the CLIENT_ID of the app that accesses the backend: idinfo = id_token.verify_oauth2_token(token, requests.Request(), CLIENT_ID) # Or, if multiple clients access the backend server: # idinfo = id_token.verify_oauth2_token(token, requests.Request()) # if idinfo['aud'] not in [CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]: # raise ValueError('Could not verify audience.') # If the request specified a Google Workspace domain # if idinfo['hd'] != DOMAIN_NAME: # raise ValueError('Wrong domain name.') # ID token is valid. Get the user's Google Account ID from the decoded token. userid = idinfo['sub'] except ValueError: # Invalid token pass
verify_oauth2_token
함수가 JWT 확인
서명, aud
클레임, exp
클레임
hd
도 확인해야 합니다.
배상 청구 (해당되는 경우)를
verify_oauth2_token
가 반환됩니다. 여러 클라이언트가
백엔드 서버에서 aud
클레임을 수동으로 확인합니다.
调用 tokeninfo 端点
为调试验证 ID 令牌签名的一种简单方法是
使用 tokeninfo
端点。调用此端点涉及
这个额外的网络请求会为您完成大部分的验证工作,
验证和载荷提取。不适合在生产环境中使用
因为请求可能会受到限制或出现间歇性错误。
如需使用 tokeninfo
端点验证 ID 令牌,请创建 HTTPS
POST 或 GET 请求发送到端点,并在
id_token
参数。
例如,要验证令牌“XYZ123”,请发出以下 GET 请求:
https://oauth2.googleapis.com/tokeninfo?id_token=XYZ123
如果令牌经过正确签名,并且 iss
和 exp
具有预期值,就会收到 HTTP 200 响应,其中正文
包含 JSON 格式的 ID 令牌声明。
以下是示例响应:
{ // These six fields are included in all Google ID Tokens. "iss": "https://accounts.google.com", "sub": "110169484474386276334", "azp": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com", "aud": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com", "iat": "1433978353", "exp": "1433981953", // These seven fields are only included when the user has granted the "profile" and // "email" OAuth scopes to the application. "email": "testuser@gmail.com", "email_verified": "true", "name" : "Test User", "picture": "https://lh4.googleusercontent.com/-kYgzyAWpZzJ/ABCDEFGHI/AAAJKLMNOP/tIXL9Ir44LE/s99-c/photo.jpg", "given_name": "Test", "family_name": "User", "locale": "en" }
如果您需要验证 ID 令牌是否代表 Google Workspace 账号,可以先查看
hd
声明,指示用户的托管网域。只有在以下情况下,
从而仅允许特定网域中的成员访问资源。缺少此声明
表示该账号不属于 Google Workspace 托管网域。
계정 또는 세션 만들기
토큰을 확인한 후 사용자가 이미 사용자 데이터베이스에 있는지 확인합니다. 이 경우 사용자를 위해 인증된 세션을 설정합니다. 사용자가 아직 사용자 데이터베이스에 없는 경우 ID 토큰 페이로드의 정보로 새 사용자 레코드를 만들고 사용자를 위한 세션을 설정합니다. 앱에서 새로 생성된 사용자를 감지하면 사용자에게 필요한 추가 프로필 정보를 묻는 메시지를 표시할 수 있습니다.
계정 간 보안으로 사용자 계정 보호하기
Google을 통해 사용자 로그인을 요청하면 Google에서 사용자 데이터를 보호하기 위해 구축한 모든 보안 기능과 인프라를 자동으로 활용할 수 있습니다. 하지만 드물게 사용자의 Google 계정이 도용되거나 다른 중요한 보안 이벤트가 발생하는 경우 앱이 공격에 취약할 수도 있습니다. 주요 보안 이벤트로부터 계정을 더 안전하게 보호하려면 교차 계정 보호를 사용하여 Google에서 보안 알림을 받으세요. 이러한 이벤트를 수신하면 사용자의 Google 계정 보안에 대한 중요 변경사항을 파악할 수 있으므로 서비스에서 계정을 보호하기 위한 조치를 취할 수 있습니다.