একটি ব্যাকএন্ড সার্ভার দিয়ে প্রমাণীকরণ করুন

আপনি যদি ব্যাকএন্ড সার্ভারের সাথে যোগাযোগ করে এমন একটি অ্যাপ বা সাইটের সাথে Google সাইন-ইন ব্যবহার করেন, তাহলে আপনাকে সার্ভারে বর্তমানে সাইন-ইন করা ব্যবহারকারীকে সনাক্ত করতে হতে পারে। নিরাপদে এটি করতে, ব্যবহারকারী সফলভাবে সাইন ইন করার পরে, HTTPS ব্যবহার করে আপনার সার্ভারে ব্যবহারকারীর আইডি টোকেন পাঠান। তারপর, সার্ভারে, আইডি টোকেনের অখণ্ডতা যাচাই করুন এবং একটি সেশন প্রতিষ্ঠা করতে বা একটি নতুন অ্যাকাউন্ট তৈরি করতে টোকেনে থাকা ব্যবহারকারীর তথ্য ব্যবহার করুন৷

আপনার সার্ভারে আইডি টোকেন পাঠান

একজন ব্যবহারকারী সফলভাবে সাইন ইন করার পরে, ব্যবহারকারীর আইডি টোকেন পান:

function onSignIn(googleUser) {
  var id_token = googleUser.getAuthResponse().id_token;
  ...
}

তারপরে, একটি HTTPS POST অনুরোধ সহ আপনার সার্ভারে আইডি টোকেন পাঠান:

var xhr = new XMLHttpRequest();
xhr.open('POST', 'https://yourbackend.example.com/tokensignin');
xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
xhr.onload = function() {
  console.log('Signed in as: ' + xhr.responseText);
};
xhr.send('idtoken=' + id_token);

আইডি টোকেনের অখণ্ডতা যাচাই করুন

আপনি HTTPS POST দ্বারা আইডি টোকেন পাওয়ার পরে, আপনাকে অবশ্যই টোকেনের অখণ্ডতা যাচাই করতে হবে।

টোকেনটি বৈধ কিনা তা যাচাই করতে, নিম্নলিখিত মানদণ্ডগুলি সন্তুষ্ট তা নিশ্চিত করুন:

• আইডি টোকেনটি Google দ্বারা সঠিকভাবে স্বাক্ষরিত। টোকেনের স্বাক্ষর যাচাই করতে Google-এর সর্বজনীন কী ( JWK বা PEM ফর্ম্যাটে উপলব্ধ) ব্যবহার করুন। এই কীগুলি নিয়মিত ঘোরানো হয়; আপনার কখন সেগুলি আবার পুনরুদ্ধার করা উচিত তা নির্ধারণ করতে প্রতিক্রিয়াতে Cache-Control শিরোনামটি পরীক্ষা করুন।
• আইডি টোকেনে aud মান আপনার অ্যাপের ক্লায়েন্ট আইডিগুলির একটির সমান। আপনার অ্যাপ্লিকেশানের ব্যাকএন্ড সার্ভারে একই ব্যবহারকারীর ডেটা অ্যাক্সেস করতে ব্যবহৃত কোনও দূষিত অ্যাপে জারি করা আইডি টোকেনগুলি প্রতিরোধ করতে এই চেকটি প্রয়োজনীয়৷
• ID টোকেনে iss এর মান accounts.google.com বা https://accounts.google.com এর সমান।
• আইডি টোকেনের মেয়াদ exp হয় নি।
• আপনি যদি আইডি টোকেনটি Google Workspace বা ক্লাউড সংস্থার অ্যাকাউন্টের প্রতিনিধিত্ব করে তা যাচাই করতে চান, তাহলে আপনি hd দাবিটি পরীক্ষা করতে পারেন, যা ব্যবহারকারীর হোস্ট করা ডোমেন নির্দেশ করে। শুধুমাত্র নির্দিষ্ট ডোমেনের সদস্যদের জন্য একটি সম্পদের অ্যাক্সেস সীমাবদ্ধ করার সময় এটি অবশ্যই ব্যবহার করা উচিত। এই দাবির অনুপস্থিতি নির্দেশ করে যে অ্যাকাউন্টটি Google হোস্ট করা ডোমেনের অন্তর্গত নয়।

এই যাচাইকরণ পদক্ষেপগুলি সম্পাদন করার জন্য আপনার নিজের কোড লেখার পরিবর্তে, আমরা দৃঢ়ভাবে আপনার প্ল্যাটফর্মের জন্য একটি Google API ক্লায়েন্ট লাইব্রেরি বা একটি সাধারণ-উদ্দেশ্য JWT লাইব্রেরি ব্যবহার করার পরামর্শ দিই। ডেভেলপমেন্ট এবং ডিবাগিংয়ের জন্য, আপনি আমাদের tokeninfo যাচাইকরণ শেষ পয়েন্টে কল করতে পারেন।

টোকেনটি বৈধ কিনা তা যাচাই করতে, নিম্নলিখিত মানদণ্ডগুলি সন্তুষ্ট তা নিশ্চিত করুন:

• আইডি টোকেনটি Google দ্বারা সঠিকভাবে স্বাক্ষরিত। টোকেনের স্বাক্ষর যাচাই করতে Google-এর সর্বজনীন কী ( JWK বা PEM ফর্ম্যাটে উপলব্ধ) ব্যবহার করুন। এই কীগুলি নিয়মিত ঘোরানো হয়; আপনার কখন সেগুলি আবার পুনরুদ্ধার করা উচিত তা নির্ধারণ করতে প্রতিক্রিয়াতে Cache-Control শিরোনামটি পরীক্ষা করুন।
• আইডি টোকেনে aud মান আপনার অ্যাপের ক্লায়েন্ট আইডিগুলির একটির সমান। আপনার অ্যাপ্লিকেশানের ব্যাকএন্ড সার্ভারে একই ব্যবহারকারীর ডেটা অ্যাক্সেস করতে ব্যবহৃত কোনও দূষিত অ্যাপে জারি করা আইডি টোকেনগুলি প্রতিরোধ করতে এই চেকটি প্রয়োজনীয়৷
• ID টোকেনে iss এর মান accounts.google.com বা https://accounts.google.com এর সমান।
• আইডি টোকেনের মেয়াদ exp হয় নি।
• আপনি যদি আইডি টোকেনটি Google Workspace বা ক্লাউড সংস্থার অ্যাকাউন্টের প্রতিনিধিত্ব করে তা যাচাই করতে চান, তাহলে আপনি hd দাবিটি পরীক্ষা করতে পারেন, যা ব্যবহারকারীর হোস্ট করা ডোমেন নির্দেশ করে। শুধুমাত্র নির্দিষ্ট ডোমেনের সদস্যদের জন্য একটি সম্পদের অ্যাক্সেস সীমাবদ্ধ করার সময় এটি অবশ্যই ব্যবহার করা উচিত। এই দাবির অনুপস্থিতি নির্দেশ করে যে অ্যাকাউন্টটি Google হোস্ট করা ডোমেনের অন্তর্গত নয়।

এই যাচাইকরণ পদক্ষেপগুলি সম্পাদন করার জন্য আপনার নিজের কোড লেখার পরিবর্তে, আমরা দৃঢ়ভাবে আপনার প্ল্যাটফর্মের জন্য একটি Google API ক্লায়েন্ট লাইব্রেরি বা একটি সাধারণ-উদ্দেশ্য JWT লাইব্রেরি ব্যবহার করার পরামর্শ দিই। ডেভেলপমেন্ট এবং ডিবাগিংয়ের জন্য, আপনি আমাদের tokeninfo যাচাইকরণ শেষ পয়েন্টে কল করতে পারেন।

একটি Google API ক্লায়েন্ট লাইব্রেরি ব্যবহার করা

Google API ক্লায়েন্ট লাইব্রেরিগুলির একটি ব্যবহার করা (যেমন Java , Node.js , PHP , Python ) হল একটি প্রোডাকশন পরিবেশে Google আইডি টোকেন যাচাই করার প্রস্তাবিত উপায়৷

import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;

...

GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
    // Specify the CLIENT_ID of the app that accesses the backend:
    .setAudience(Collections.singletonList(CLIENT_ID))
    // Or, if multiple clients access the backend:
    //.setAudience(Arrays.asList(CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3))
    .build();

// (Receive idTokenString by HTTPS POST)

GoogleIdToken idToken = verifier.verify(idTokenString);
if (idToken != null) {
  Payload payload = idToken.getPayload();

  // Print user identifier
  String userId = payload.getSubject();
  System.out.println("User ID: " + userId);

  // Get profile information from payload
  String email = payload.getEmail();
  boolean emailVerified = Boolean.valueOf(payload.getEmailVerified());
  String name = (String) payload.get("name");
  String pictureUrl = (String) payload.get("picture");
  String locale = (String) payload.get("locale");
  String familyName = (String) payload.get("family_name");
  String givenName = (String) payload.get("given_name");

  // Use or store profile information
  // ...

} else {
  System.out.println("Invalid ID token.");
}

npm install google-auth-library --save

const {OAuth2Client} = require('google-auth-library');
const client = new OAuth2Client();
async function verify() {
  const ticket = await client.verifyIdToken({
      idToken: token,
      audience: CLIENT_ID,  // Specify the CLIENT_ID of the app that accesses the backend
      // Or, if multiple clients access the backend:
      //[CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]
  });
  const payload = ticket.getPayload();
  const userid = payload['sub'];
  // If the request specified a Google Workspace domain:
  // const domain = payload['hd'];
}
verify().catch(console.error);

composer require google/apiclient

require_once 'vendor/autoload.php';

// Get $id_token via HTTPS POST.

$client = new Google_Client(['client_id' => $CLIENT_ID]);  // Specify the CLIENT_ID of the app that accesses the backend
$payload = $client->verifyIdToken($id_token);
if ($payload) {
  $userid = $payload['sub'];
  // If the request specified a Google Workspace domain
  //$domain = $payload['hd'];
} else {
  // Invalid ID token
}

from google.oauth2 import id_token
from google.auth.transport import requests

# (Receive token by HTTPS POST)
# ...

try:
    # Specify the CLIENT_ID of the app that accesses the backend:
    idinfo = id_token.verify_oauth2_token(token, requests.Request(), CLIENT_ID)

    # Or, if multiple clients access the backend server:
    # idinfo = id_token.verify_oauth2_token(token, requests.Request())
    # if idinfo['aud'] not in [CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]:
    #     raise ValueError('Could not verify audience.')

    # If the request specified a Google Workspace domain
    # if idinfo['hd'] != DOMAIN_NAME:
    #     raise ValueError('Wrong domain name.')

    # ID token is valid. Get the user's Google Account ID from the decoded token.
    userid = idinfo['sub']
except ValueError:
    # Invalid token
    pass

একটি Google API ক্লায়েন্ট লাইব্রেরি ব্যবহার করা

Google API ক্লায়েন্ট লাইব্রেরিগুলির একটি ব্যবহার করা (যেমন Java , Node.js , PHP , Python ) হল একটি প্রোডাকশন পরিবেশে Google আইডি টোকেন যাচাই করার প্রস্তাবিত উপায়৷

import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;

...

GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
    // Specify the CLIENT_ID of the app that accesses the backend:
    .setAudience(Collections.singletonList(CLIENT_ID))
    // Or, if multiple clients access the backend:
    //.setAudience(Arrays.asList(CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3))
    .build();

// (Receive idTokenString by HTTPS POST)

GoogleIdToken idToken = verifier.verify(idTokenString);
if (idToken != null) {
  Payload payload = idToken.getPayload();

  // Print user identifier
  String userId = payload.getSubject();
  System.out.println("User ID: " + userId);

  // Get profile information from payload
  String email = payload.getEmail();
  boolean emailVerified = Boolean.valueOf(payload.getEmailVerified());
  String name = (String) payload.get("name");
  String pictureUrl = (String) payload.get("picture");
  String locale = (String) payload.get("locale");
  String familyName = (String) payload.get("family_name");
  String givenName = (String) payload.get("given_name");

  // Use or store profile information
  // ...

} else {
  System.out.println("Invalid ID token.");
}

npm install google-auth-library --save

const {OAuth2Client} = require('google-auth-library');
const client = new OAuth2Client();
async function verify() {
  const ticket = await client.verifyIdToken({
      idToken: token,
      audience: CLIENT_ID,  // Specify the CLIENT_ID of the app that accesses the backend
      // Or, if multiple clients access the backend:
      //[CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]
  });
  const payload = ticket.getPayload();
  const userid = payload['sub'];
  // If the request specified a Google Workspace domain:
  // const domain = payload['hd'];
}
verify().catch(console.error);

composer require google/apiclient

require_once 'vendor/autoload.php';

// Get $id_token via HTTPS POST.

$client = new Google_Client(['client_id' => $CLIENT_ID]);  // Specify the CLIENT_ID of the app that accesses the backend
$payload = $client->verifyIdToken($id_token);
if ($payload) {
  $userid = $payload['sub'];
  // If the request specified a Google Workspace domain
  //$domain = $payload['hd'];
} else {
  // Invalid ID token
}

from google.oauth2 import id_token
from google.auth.transport import requests

# (Receive token by HTTPS POST)
# ...

try:
    # Specify the CLIENT_ID of the app that accesses the backend:
    idinfo = id_token.verify_oauth2_token(token, requests.Request(), CLIENT_ID)

    # Or, if multiple clients access the backend server:
    # idinfo = id_token.verify_oauth2_token(token, requests.Request())
    # if idinfo['aud'] not in [CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]:
    #     raise ValueError('Could not verify audience.')

    # If the request specified a Google Workspace domain
    # if idinfo['hd'] != DOMAIN_NAME:
    #     raise ValueError('Wrong domain name.')

    # ID token is valid. Get the user's Google Account ID from the decoded token.
    userid = idinfo['sub']
except ValueError:
    # Invalid token
    pass

টোকেনইনফো এন্ডপয়েন্টে কল করা হচ্ছে

ডিবাগিংয়ের জন্য একটি আইডি টোকেন স্বাক্ষর যাচাই করার একটি সহজ উপায় হল tokeninfo এন্ডপয়েন্ট ব্যবহার করা। এই এন্ডপয়েন্টে কল করার সাথে একটি অতিরিক্ত নেটওয়ার্ক অনুরোধ অন্তর্ভুক্ত থাকে যা আপনার নিজের কোডে যথাযথ বৈধতা এবং পেলোড নিষ্কাশন পরীক্ষা করার সময় আপনার জন্য বেশিরভাগ বৈধতা দেয়। এটি প্রোডাকশন কোডে ব্যবহারের জন্য উপযুক্ত নয় কারণ অনুরোধগুলি থ্রোটল হতে পারে বা অন্যথায় মাঝে মাঝে ত্রুটির বিষয় হতে পারে।

tokeninfo এন্ডপয়েন্ট ব্যবহার করে একটি আইডি টোকেন যাচাই করতে, একটি HTTPS পোস্ট করুন বা এন্ডপয়েন্টে GET অনুরোধ করুন এবং id_token প্যারামিটারে আপনার আইডি টোকেন পাস করুন। উদাহরণস্বরূপ, টোকেন "XYZ123" যাচাই করতে, নিম্নলিখিত GET অনুরোধ করুন:

https://oauth2.googleapis.com/tokeninfo?id_token=XYZ123

যদি টোকেনটি সঠিকভাবে স্বাক্ষরিত হয় এবং iss এবং exp দাবির প্রত্যাশিত মান থাকে, তাহলে আপনি একটি HTTP 200 প্রতিক্রিয়া পাবেন, যেখানে মূল অংশে JSON- ফরম্যাটেড আইডি টোকেন দাবিগুলি রয়েছে৷ এখানে একটি উদাহরণ প্রতিক্রিয়া:

{
 // These six fields are included in all Google ID Tokens.
 "iss": "https://accounts.google.com",
 "sub": "110169484474386276334",
 "azp": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
 "aud": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
 "iat": "1433978353",
 "exp": "1433981953",

 // These seven fields are only included when the user has granted the "profile" and
 // "email" OAuth scopes to the application.
 "email": "testuser@gmail.com",
 "email_verified": "true",
 "name" : "Test User",
 "picture": "https://lh4.googleusercontent.com/-kYgzyAWpZzJ/ABCDEFGHI/AAAJKLMNOP/tIXL9Ir44LE/s99-c/photo.jpg",
 "given_name": "Test",
 "family_name": "User",
 "locale": "en"
}

আপনি যদি আইডি টোকেনটি Google Workspace অ্যাকাউন্টের প্রতিনিধিত্ব করে তা যাচাই করতে চান, তাহলে আপনি hd দাবিটি পরীক্ষা করতে পারেন, যা ব্যবহারকারীর হোস্ট করা ডোমেন নির্দেশ করে। শুধুমাত্র নির্দিষ্ট ডোমেনের সদস্যদের জন্য একটি সম্পদের অ্যাক্সেস সীমাবদ্ধ করার সময় এটি অবশ্যই ব্যবহার করা উচিত। এই দাবির অনুপস্থিতি নির্দেশ করে যে অ্যাকাউন্টটি Google Workspace হোস্ট করা ডোমেনের অন্তর্গত নয়।

টোকেনইনফো এন্ডপয়েন্টে কল করা হচ্ছে

ডিবাগিংয়ের জন্য একটি আইডি টোকেন স্বাক্ষর যাচাই করার একটি সহজ উপায় হল tokeninfo এন্ডপয়েন্ট ব্যবহার করা। এই এন্ডপয়েন্টে কল করার সাথে একটি অতিরিক্ত নেটওয়ার্ক অনুরোধ অন্তর্ভুক্ত থাকে যা আপনার নিজের কোডে যথাযথ বৈধতা এবং পেলোড নিষ্কাশন পরীক্ষা করার সময় আপনার জন্য বেশিরভাগ বৈধতা দেয়। এটি প্রোডাকশন কোডে ব্যবহারের জন্য উপযুক্ত নয় কারণ অনুরোধগুলি থ্রোটল হতে পারে বা অন্যথায় মাঝে মাঝে ত্রুটির বিষয় হতে পারে।

tokeninfo এন্ডপয়েন্ট ব্যবহার করে একটি আইডি টোকেন যাচাই করতে, একটি HTTPS পোস্ট করুন বা এন্ডপয়েন্টে GET অনুরোধ করুন এবং id_token প্যারামিটারে আপনার আইডি টোকেন পাস করুন। উদাহরণস্বরূপ, টোকেন "XYZ123" যাচাই করতে, নিম্নলিখিত GET অনুরোধ করুন:

https://oauth2.googleapis.com/tokeninfo?id_token=XYZ123

যদি টোকেনটি সঠিকভাবে স্বাক্ষরিত হয় এবং iss এবং exp দাবির প্রত্যাশিত মান থাকে, তাহলে আপনি একটি HTTP 200 প্রতিক্রিয়া পাবেন, যেখানে মূল অংশে JSON- ফরম্যাটেড আইডি টোকেন দাবিগুলি রয়েছে৷ এখানে একটি উদাহরণ প্রতিক্রিয়া:

{
 // These six fields are included in all Google ID Tokens.
 "iss": "https://accounts.google.com",
 "sub": "110169484474386276334",
 "azp": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
 "aud": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
 "iat": "1433978353",
 "exp": "1433981953",

 // These seven fields are only included when the user has granted the "profile" and
 // "email" OAuth scopes to the application.
 "email": "testuser@gmail.com",
 "email_verified": "true",
 "name" : "Test User",
 "picture": "https://lh4.googleusercontent.com/-kYgzyAWpZzJ/ABCDEFGHI/AAAJKLMNOP/tIXL9Ir44LE/s99-c/photo.jpg",
 "given_name": "Test",
 "family_name": "User",
 "locale": "en"
}

আপনি যদি আইডি টোকেনটি Google Workspace অ্যাকাউন্টের প্রতিনিধিত্ব করে তা যাচাই করতে চান, তাহলে আপনি hd দাবিটি পরীক্ষা করতে পারেন, যা ব্যবহারকারীর হোস্ট করা ডোমেন নির্দেশ করে। শুধুমাত্র নির্দিষ্ট ডোমেনের সদস্যদের জন্য একটি সম্পদের অ্যাক্সেস সীমাবদ্ধ করার সময় এটি অবশ্যই ব্যবহার করা উচিত। এই দাবির অনুপস্থিতি নির্দেশ করে যে অ্যাকাউন্টটি Google Workspace হোস্ট করা ডোমেনের অন্তর্গত নয়।

একটি অ্যাকাউন্ট বা সেশন তৈরি করুন

আপনি টোকেন যাচাই করার পরে, ব্যবহারকারী ইতিমধ্যে আপনার ব্যবহারকারী ডাটাবেসে আছে কিনা তা পরীক্ষা করুন। যদি তাই হয়, ব্যবহারকারীর জন্য একটি প্রমাণীকৃত সেশন স্থাপন করুন। যদি ব্যবহারকারী এখনও আপনার ব্যবহারকারী ডাটাবেসে না থাকে, তাহলে আইডি টোকেন পেলোডের তথ্য থেকে একটি নতুন ব্যবহারকারীর রেকর্ড তৈরি করুন এবং ব্যবহারকারীর জন্য একটি সেশন স্থাপন করুন। আপনি যখন আপনার অ্যাপে নতুন তৈরি করা ব্যবহারকারীকে শনাক্ত করেন তখন আপনার প্রয়োজনীয় যেকোন অতিরিক্ত প্রোফাইল তথ্যের জন্য আপনি ব্যবহারকারীকে অনুরোধ করতে পারেন।

ক্রস অ্যাকাউন্ট সুরক্ষা দিয়ে আপনার ব্যবহারকারীদের অ্যাকাউন্ট সুরক্ষিত করা

আপনি যখন একজন ব্যবহারকারীকে সাইন ইন করার জন্য Google-এর উপর নির্ভর করেন, তখন আপনি স্বয়ংক্রিয়ভাবে ব্যবহারকারীর ডেটা সুরক্ষিত করার জন্য Google-এর তৈরি সমস্ত নিরাপত্তা বৈশিষ্ট্য এবং পরিকাঠামো থেকে উপকৃত হবেন৷ যাইহোক, ব্যবহারকারীর Google অ্যাকাউন্টের সাথে আপস করা বা অন্য কিছু গুরুত্বপূর্ণ নিরাপত্তা ইভেন্ট হওয়ার সম্ভাবনা কম হলে, আপনার অ্যাপটি আক্রমণের জন্যও ঝুঁকিপূর্ণ হতে পারে। যেকোনো বড় নিরাপত্তা ইভেন্ট থেকে আপনার অ্যাকাউন্টগুলিকে আরও ভালভাবে সুরক্ষিত করতে, Google থেকে নিরাপত্তা সতর্কতা পেতে ক্রস অ্যাকাউন্ট সুরক্ষা ব্যবহার করুন। আপনি যখন এই ইভেন্টগুলি পান, তখন আপনি ব্যবহারকারীর Google অ্যাকাউন্টের নিরাপত্তায় গুরুত্বপূর্ণ পরিবর্তনগুলির দৃশ্যমানতা অর্জন করেন এবং তারপরে আপনি আপনার অ্যাকাউন্টগুলিকে সুরক্ষিত করতে আপনার পরিষেবাতে পদক্ষেপ নিতে পারেন৷