अगर किसी ऐसे ऐप्लिकेशन या साइट के साथ 'Google साइन इन' का इस्तेमाल किया जाता है जो बैकएंड सर्वर के साथ कम्यूनिकेट करता है, तो आपको सर्वर पर साइन इन किए हुए मौजूदा उपयोगकर्ता की पहचान करनी पड़ सकती है. सुरक्षित तरीके से साइन इन करने के लिए, जब कोई उपयोगकर्ता साइन इन कर ले, तब एचटीटीपीएस का इस्तेमाल करके, अपने सर्वर पर उपयोगकर्ता का आईडी टोकन भेजें. इसके बाद, सर्वर पर इस बात की पुष्टि करें कि आईडी टोकन सही है या नहीं. साथ ही, सेशन बनाने या नया खाता बनाने के लिए, टोकन में मौजूद उपयोगकर्ता की जानकारी का इस्तेमाल करें.
अपने सर्वर पर आईडी टोकन भेजें
सबसे पहले, जब उपयोगकर्ता साइन इन करता है, तब उसका आईडी टोकन पाएं:
-
'Google साइन इन' को कॉन्फ़िगर करने के बाद,
requestIdToken
तरीके को कॉल करें और इसे अपने सर्वर के वेब क्लाइंट आईडी के तौर पर पास करें.// Request only the user's ID token, which can be used to identify the // user securely to your backend. This will contain the user's basic // profile (name, profile picture URL, etc) so you should not need to // make an additional call to personalize your application. GoogleSignInOptions gso = new GoogleSignInOptions.Builder(GoogleSignInOptions.DEFAULT_SIGN_IN) .requestIdToken(getString(R.string.server_client_id)) .requestEmail() .build();
-
ऐप्लिकेशन चालू होने पर, यह देखें कि क्या उपयोगकर्ता ने
silentSignIn
को कॉल करके, इस डिवाइस या किसी दूसरे डिवाइस पर Google का इस्तेमाल करके, पहले से ही आपके ऐप्लिकेशन में साइन इन कर लिया है:GoogleSignIn.silentSignIn() .addOnCompleteListener( this, new OnCompleteListener<GoogleSignInAccount>() { @Override public void onComplete(@NonNull Task<GoogleSignInAccount> task) { handleSignInResult(task); } });
-
अगर उपयोगकर्ता बिना सूचना के साइन इन नहीं कर सकता, तो उसे अपने खाते से साइन आउट करने का सामान्य तरीका दिखाएं. साथ ही, उसे साइन इन करने का विकल्प दें. जब उपयोगकर्ता साइन इन करता है, तो साइन-इन इंटेंट के गतिविधि नतीजे में उपयोगकर्ता का
GoogleSignInAccount
पाएं:// This task is always completed immediately, there is no need to attach an // asynchronous listener. Task<GoogleSignInAccount> task = GoogleSignIn.getSignedInAccountFromIntent(data); handleSignInResult(task);
-
जब उपयोगकर्ता चुपचाप या साफ़ तौर पर साइन इन करेगा, तब
GoogleSignInAccount
ऑब्जेक्ट से आईडी टोकन पाएं:private void handleSignInResult(@NonNull Task<GoogleSignInAccount> completedTask) { try { GoogleSignInAccount account = completedTask.getResult(ApiException.class); String idToken = account.getIdToken(); // TODO(developer): send ID Token to server and validate updateUI(account); } catch (ApiException e) { Log.w(TAG, "handleSignInResult:error", e); updateUI(null); } }
इसके बाद, एचटीटीपीएस पोस्ट अनुरोध के साथ अपने सर्वर पर आईडी टोकन भेजें:
HttpClient httpClient = new DefaultHttpClient(); HttpPost httpPost = new HttpPost("https://yourbackend.example.com/tokensignin"); try { List<NameValuePair> nameValuePairs = new ArrayList<NameValuePair>(1); nameValuePairs.add(new BasicNameValuePair("idToken", idToken)); httpPost.setEntity(new UrlEncodedFormEntity(nameValuePairs)); HttpResponse response = httpClient.execute(httpPost); int statusCode = response.getStatusLine().getStatusCode(); final String responseBody = EntityUtils.toString(response.getEntity()); Log.i(TAG, "Signed in as: " + responseBody); } catch (ClientProtocolException e) { Log.e(TAG, "Error sending ID token to backend.", e); } catch (IOException e) { Log.e(TAG, "Error sending ID token to backend.", e); }
पुष्टि करना कि आईडी टोकन सही है या नहीं
एचटीटीपीएस POST से आईडी टोकन मिलने के बाद, आपको इसकी पुष्टि करनी होगी कि टोकन सही है या नहीं.
टोकन मान्य है, इसकी पुष्टि करने के लिए, पक्का करें कि: शर्तें पूरी की हैं:
- Google ने आईडी टोकन पर सही तरीके से हस्ताक्षर किया है. Google की सार्वजनिक कुंजियों का इस्तेमाल करें
(इसमें उपलब्ध है
JWK या
PEM फ़ॉर्मैट)
टोकन के हस्ताक्षर की पुष्टि करने के लिए. ये बटन नियमित रूप से घुमाए जाते हैं; जांच करें
जवाब में
Cache-Control
हेडर, ताकि यह तय किया जा सके कि कब तो आपको उन्हें फिर से वापस लाना होगा. - आईडी टोकन में
aud
की वैल्यू, आपके ऐप्लिकेशन की वैल्यू के बराबर है क्लाइंट आईडी. नुकसान पहुंचाने वाले मैलवेयर को जारी किए गए आईडी टोकन को रोकने के लिए यह जांच करना ज़रूरी है ऐप्लिकेशन का इस्तेमाल, आपके ऐप्लिकेशन के बैकएंड सर्वर पर उसी उपयोगकर्ता का डेटा ऐक्सेस करने के लिए किया जा रहा हो. - आईडी टोकन में
iss
की वैल्यू इसके बराबर हैaccounts.google.com
याhttps://accounts.google.com
. - आईडी टोकन की समयसीमा खत्म होने का समय (
exp
) नहीं हुआ है. - अगर आपको इस बात की पुष्टि करनी है कि आईडी टोकन, Google Workspace या Cloud से जुड़ा है या नहीं
तो आप
hd
दावे की जांच कर सकते हैं. इससे पता चलता है कि उपयोगकर्ता के डोमेन के साथ काम करता है. इसका इस्तेमाल तब किया जाना चाहिए, जब किसी संसाधन का ऐक्सेस सिर्फ़ इसके सदस्यों तक सीमित रखा गया हो कुछ डोमेन. इस दावे के मौजूद न होने का मतलब है कि यह खाता किसी Google की ओर से होस्ट किया गया डोमेन.
email
, email_verified
, और hd
फ़ील्ड का इस्तेमाल करके, यह पता लगाया जा सकता है कि
ईमेल पते को Google होस्ट करता है और आधिकारिक तौर पर उपलब्ध कराता है. ऐसे मामलों में जहां Google आधिकारिक है,
वह उपयोगकर्ता उस खाते का वैध स्वामी है और आप पासवर्ड या अन्य विकल्प
चैलेंज के तरीके.
ऐसे मामले, जिनमें Google आधिकारिक जानकारी देता है:
email
में@gmail.com
सफ़िक्स लगा है. यह Gmail खाता है.email_verified
सही है औरhd
सेट है, यह एक G Suite खाता है.
उपयोगकर्ता, Gmail या G Suite का इस्तेमाल किए बिना Google खातों के लिए रजिस्टर कर सकते हैं. टास्क कब शुरू होगा
email
में @gmail.com
सफ़िक्स नहीं है और hd
मौजूद नहीं है, Google
पुष्टि करने के लिए, भरोसेमंद और पासवर्ड या अन्य चैलेंज वाले तरीकों का इस्तेमाल करने का सुझाव दिया जाता है
उपयोगकर्ता है. email_verified
भी सही हो सकती है, क्योंकि Google ने शुरुआत में
Google खाता बनाए जाने के समय उपयोगकर्ता, हालांकि तीसरे पक्ष का मालिकाना हक
शायद उसके बाद ईमेल खाता बदल गया है.
पुष्टि करने के इन चरणों को पूरा करने के लिए, अपना कोड लिखने के बजाय हम इस बात पर ज़ोर देते हैं
अपने प्लैटफ़ॉर्म या किसी सामान्य मक़सद के लिए, Google API क्लाइंट लाइब्रेरी का इस्तेमाल करने का सुझाव दिया जाता है
JWT लाइब्रेरी. डेवलपमेंट और डीबग करने के लिए, हमारे tokeninfo
पर कॉल करें
पुष्टि करने वाला एंडपॉइंट.
Google API क्लाइंट लाइब्रेरी का इस्तेमाल करना
Google API क्लाइंट लाइब्रेरी में से किसी एक का इस्तेमाल करके (उदाहरण के लिए, Java, Node.js, फ़िलिपीन पेसो, Python) प्रोडक्शन एनवायरमेंट में Google आईडी टोकन की पुष्टि करने का सुझाया गया तरीका है.
Java में आईडी टोकन की पुष्टि करने के लिए, GoogleIdTokenVerifier ऑब्जेक्ट है. उदाहरण के लिए:
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken; import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload; import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier; ... GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory) // Specify the CLIENT_ID of the app that accesses the backend: .setAudience(Collections.singletonList(CLIENT_ID)) // Or, if multiple clients access the backend: //.setAudience(Arrays.asList(CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3)) .build(); // (Receive idTokenString by HTTPS POST) GoogleIdToken idToken = verifier.verify(idTokenString); if (idToken != null) { Payload payload = idToken.getPayload(); // Print user identifier String userId = payload.getSubject(); System.out.println("User ID: " + userId); // Get profile information from payload String email = payload.getEmail(); boolean emailVerified = Boolean.valueOf(payload.getEmailVerified()); String name = (String) payload.get("name"); String pictureUrl = (String) payload.get("picture"); String locale = (String) payload.get("locale"); String familyName = (String) payload.get("family_name"); String givenName = (String) payload.get("given_name"); // Use or store profile information // ... } else { System.out.println("Invalid ID token."); }
GoogleIdTokenVerifier.verify()
तरीका, JWT की पुष्टि करता है
हस्ताक्षर, aud
दावा, iss
दावा, और
exp
दावा.
अगर आपको इस बात की पुष्टि करनी है कि आईडी टोकन, Google Workspace या Cloud से जुड़ा है या नहीं
तो आप डोमेन नेम की जांच करके hd
दावे की पुष्टि कर सकते हैं
Payload.getHostedDomain()
तरीके से लौटाया जाता है. उस डोमेन का डोमेन
email
दावा यह पक्का करने के लिए काफ़ी नहीं है कि खाते को किसी डोमेन से मैनेज किया जा रहा है
इस्तेमाल करने के लिए प्रोत्साहित करते हैं.
Node.js में आईडी टोकन की पुष्टि करने के लिए, Node.js के लिए Google की अनुमति लाइब्रेरी का इस्तेमाल करें. लाइब्रेरी इंस्टॉल करें:
npm install google-auth-library --saveअभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है इसके बाद,
verifyIdToken()
फ़ंक्शन को कॉल करें. उदाहरण के लिए:
const {OAuth2Client} = require('google-auth-library'); const client = new OAuth2Client(); async function verify() { const ticket = await client.verifyIdToken({ idToken: token, audience: CLIENT_ID, // Specify the CLIENT_ID of the app that accesses the backend // Or, if multiple clients access the backend: //[CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3] }); const payload = ticket.getPayload(); const userid = payload['sub']; // If the request specified a Google Workspace domain: // const domain = payload['hd']; } verify().catch(console.error);
verifyIdToken
फ़ंक्शन पुष्टि करता है
JWT हस्ताक्षर, aud
दावा, exp
दावा,
और iss
दावा.
अगर आपको इस बात की पुष्टि करनी है कि आईडी टोकन, Google Workspace या Cloud से जुड़ा है या नहीं
तो आप hd
दावे की जांच कर सकते हैं. इससे पता चलता है कि
उपयोगकर्ता के डोमेन के साथ काम करता है. इसका इस्तेमाल तब किया जाना चाहिए, जब किसी संसाधन का ऐक्सेस सिर्फ़ सदस्यों के लिए प्रतिबंधित किया गया हो
कुछ डोमेन हो जाते हैं. इस दावे के मौजूद न होने का मतलब है कि यह खाता
डोमेन, जिसे Google होस्ट करता है.
PHP में आईडी टोकन की पुष्टि करने के लिए, PHP के लिए Google API क्लाइंट लाइब्रेरी का इस्तेमाल करें. लाइब्रेरी इंस्टॉल करें (उदाहरण के लिए, Composer का इस्तेमाल करके):
composer require google/apiclientअभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है इसके बाद,
verifyIdToken()
फ़ंक्शन को कॉल करें. उदाहरण के लिए:
require_once 'vendor/autoload.php'; // Get $id_token via HTTPS POST. $client = new Google_Client(['client_id' => $CLIENT_ID]); // Specify the CLIENT_ID of the app that accesses the backend $payload = $client->verifyIdToken($id_token); if ($payload) { $userid = $payload['sub']; // If the request specified a Google Workspace domain //$domain = $payload['hd']; } else { // Invalid ID token }
verifyIdToken
फ़ंक्शन पुष्टि करता है
JWT हस्ताक्षर, aud
दावा, exp
दावा,
और iss
दावा.
अगर आपको इस बात की पुष्टि करनी है कि आईडी टोकन, Google Workspace या Cloud से जुड़ा है या नहीं
तो आप hd
दावे की जांच कर सकते हैं. इससे पता चलता है कि
उपयोगकर्ता के डोमेन के साथ काम करता है. इसका इस्तेमाल तब किया जाना चाहिए, जब किसी संसाधन का ऐक्सेस सिर्फ़ सदस्यों के लिए प्रतिबंधित किया गया हो
कुछ डोमेन हो जाते हैं. इस दावे के मौजूद न होने का मतलब है कि यह खाता
डोमेन, जिसे Google होस्ट करता है.
Python में आईडी टोकन की पुष्टि करने के लिए, verify_oauth2_token फ़ंक्शन का इस्तेमाल करना होगा. उदाहरण के लिए:
from google.oauth2 import id_token from google.auth.transport import requests # (Receive token by HTTPS POST) # ... try: # Specify the CLIENT_ID of the app that accesses the backend: idinfo = id_token.verify_oauth2_token(token, requests.Request(), CLIENT_ID) # Or, if multiple clients access the backend server: # idinfo = id_token.verify_oauth2_token(token, requests.Request()) # if idinfo['aud'] not in [CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]: # raise ValueError('Could not verify audience.') # If the request specified a Google Workspace domain # if idinfo['hd'] != DOMAIN_NAME: # raise ValueError('Wrong domain name.') # ID token is valid. Get the user's Google Account ID from the decoded token. userid = idinfo['sub'] except ValueError: # Invalid token pass
verify_oauth2_token
फ़ंक्शन, JWT की पुष्टि करता है
हस्ताक्षर, aud
दावा, और exp
दावा.
आपको hd
की पुष्टि भी करनी होगी
दावा करें (अगर लागू हो) उस ऑब्जेक्ट की जांच करके, जो
verify_oauth2_token
का शुल्क देकर, प्रॉडक्ट को लौटाया जा सकता है. अगर कई क्लाइंट
बैकएंड सर्वर, aud
के दावे की मैन्युअल तरीके से भी पुष्टि करता है.
टोकनइन्फ़ो एंडपॉइंट को कॉल किया जा रहा है
डीबग करने के लिए, आईडी टोकन सिग्नेचर की पुष्टि करने का आसान तरीका यह है कि
tokeninfo
एंडपॉइंट का इस्तेमाल करें. इस एंडपॉइंट पर कॉल करने में
एक अतिरिक्त नेटवर्क अनुरोध, जो सही टेस्ट किए जाने के दौरान, आपके लिए ज़्यादातर पुष्टि करता है
की पुष्टि करने और पेलोड एक्सट्रैक्शन को जोड़ने का तरीका बताएंगे. यह प्रोडक्शन में इस्तेमाल करने के लिए सही नहीं है
कोड, क्योंकि अनुरोधों को थ्रॉटल किया जा सकता है या दूसरी तरह से समय-समय पर गड़बड़ियां हो सकती हैं.
tokeninfo
एंडपॉइंट का इस्तेमाल करके, आईडी टोकन की पुष्टि करने के लिए एचटीटीपीएस बनाएं
एंडपॉइंट पर पीओएसटी या जीईटी अनुरोध भेजें और अपना आईडी टोकन
id_token
पैरामीटर.
उदाहरण के लिए, टोकन "XYZ123" की पुष्टि करने के लिए, नीचे दिया गया GET अनुरोध करें:
https://oauth2.googleapis.com/tokeninfo?id_token=XYZ123
अगर टोकन को सही तरीके से साइन किया गया है और iss
और exp
दावों के लिए अपेक्षित मान हैं, तो आपको एक HTTP 200 प्रतिक्रिया मिलेगी, जहां का मुख्य भाग
JSON के फ़ॉर्मैट किए गए आईडी टोकन के दावे शामिल हैं.
यहां जवाब का एक उदाहरण दिया गया है:
{ // These six fields are included in all Google ID Tokens. "iss": "https://accounts.google.com", "sub": "110169484474386276334", "azp": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com", "aud": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com", "iat": "1433978353", "exp": "1433981953", // These seven fields are only included when the user has granted the "profile" and // "email" OAuth scopes to the application. "email": "testuser@gmail.com", "email_verified": "true", "name" : "Test User", "picture": "https://lh4.googleusercontent.com/-kYgzyAWpZzJ/ABCDEFGHI/AAAJKLMNOP/tIXL9Ir44LE/s99-c/photo.jpg", "given_name": "Test", "family_name": "User", "locale": "en" }अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है
अगर आपको इस बात की पुष्टि करनी है कि आईडी टोकन, Google Workspace खाते का इस्तेमाल करता है या नहीं, तो
hd
दावा, जो उपयोगकर्ता के होस्ट किए गए डोमेन के बारे में बताता है. इसका इस्तेमाल तब करें, जब
किसी संसाधन के ऐक्सेस को सिर्फ़ कुछ डोमेन के सदस्यों के लिए प्रतिबंधित करना. इस दावे का न होना
इससे पता चलता है कि खाता, Google Workspace के होस्ट किए गए डोमेन से नहीं जुड़ा है.
खाता या सेशन बनाएं
टोकन की पुष्टि करने के बाद, देखें कि उपयोगकर्ता पहले से आपके उपयोगकर्ता डेटाबेस में है या नहीं. अगर हां, तो उपयोगकर्ता के लिए एक पुष्टि किया गया सेशन तय करें. अगर उपयोगकर्ता अब तक आपके उपयोगकर्ता डेटाबेस में नहीं है, तो आईडी टोकन पेलोड की जानकारी से एक नया उपयोगकर्ता रिकॉर्ड बनाएं और उपयोगकर्ता के लिए एक सेशन बनाएं. अगर आपको अपने ऐप्लिकेशन में किसी नए उपयोगकर्ता का पता चलता है, तो उपयोगकर्ता को प्रोफ़ाइल से जुड़ी ऐसी अतिरिक्त जानकारी देने के लिए कहा जा सकता है जिसकी ज़रूरत हो.
'सभी खातों की सुरक्षा' सुविधा की मदद से उपयोगकर्ताओं के खातों को सुरक्षित रखना
अगर किसी उपयोगकर्ता के खाते में साइन इन करने के लिए Google पर भरोसा किया जाता है, तो आपको अपने-आप उन सभी सुरक्षा सुविधाओं और इन्फ़्रास्ट्रक्चर का फ़ायदा मिलेगा जिन्हें Google ने, उपयोगकर्ता के डेटा की सुरक्षा के लिए बनाया है. हालांकि, अगर उपयोगकर्ता के Google खाते से छेड़छाड़ होने की कोई संभावना नहीं है या सुरक्षा से जुड़ी किसी दूसरी अहम गतिविधि का पता चलता है, तो आपके ऐप्लिकेशन पर हमले का खतरा भी हो सकता है. अपने खातों को सुरक्षा से जुड़ी किसी भी बड़ी गतिविधि से बचाने के लिए, सभी खातों की सुरक्षा सुविधा का इस्तेमाल करें. इससे आपको Google से सुरक्षा से जुड़ी चेतावनियां मिलती हैं. इस तरह के इवेंट मिलने पर, आपको उपयोगकर्ता के Google खाते की सुरक्षा से जुड़े अहम बदलावों की जानकारी मिलती है. इसके बाद, अपने खातों को सुरक्षित रखने के लिए अपनी सेवा पर कार्रवाई की जा सकती है.