Uwierzytelnianie za pomocą serwera backendu

Jeśli używasz Logowania przez Google w aplikacji lub na stronie, która komunikuje się z backendem serwera, może być konieczne zidentyfikowanie obecnie zalogowanego użytkownika na serwerze. Aby to zrobić w bezpieczny sposób, po zalogowaniu się użytkownika wyślij mu adres Token identyfikatora do serwera za pomocą protokołu HTTPS. Następnie sprawdź na serwerze integralność i wykorzystać informacje o użytkowniku zawarte w tokenie do określenia lub utwórz nowe konto.

Wyślij token identyfikatora na swój serwer

Gdy użytkownik się zaloguje, pobierz jego token identyfikatora:

function onSignIn(googleUser) {
  var id_token = googleUser.getAuthResponse().id_token;
  ...
}

Następnie wyślij token identyfikatora na swój serwer za pomocą żądania HTTPS POST:

var xhr = new XMLHttpRequest();
xhr.open('POST', 'https://yourbackend.example.com/tokensignin');
xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
xhr.onload = function() {
  console.log('Signed in as: ' + xhr.responseText);
};
xhr.send('idtoken=' + id_token);

Sprawdzanie integralności tokena tożsamości

Po otrzymaniu tokena identyfikatora za pomocą metody HTTPS POST musisz zweryfikować integralność tokenu.

Aby sprawdzić, czy token jest prawidłowy, upewnij się, że spełnia te kryteria:

• Token identyfikacji jest prawidłowo podpisany przez Google. Użyj kluczy publicznych Google (dostępnych w formacie JWK lub PEM), aby zweryfikować podpis tokena. Te klucze są regularnie zmieniane. Sprawdź nagłówek Cache-Control w odpowiedzi, aby określić, kiedy należy je ponownie pobrać.
• Wartość aud w tokenie identyfikatora jest równa jednemu z identyfikatorów klienta Twojej aplikacji. Jest to konieczne, aby zapobiec używaniu tokenów identyfikatora wydanych złośliwej aplikacji do uzyskiwania dostępu do danych o tym samym użytkowniku na serwerze backendu aplikacji.
• Wartość iss w tokenie identyfikatora jest równa accounts.google.com lub https://accounts.google.com.
• Czas wygaśnięcia tokena identyfikacyjnego (exp) jeszcze nie upłynął.
• Jeśli musisz sprawdzić, czy token identyfikatora reprezentuje konto organizacji Google Workspace lub Cloud, możesz sprawdzić roszczenie hd, które wskazuje hostowaną domenę użytkownika. Należy go używać, gdy chcesz ograniczyć dostęp do zasobu tylko do członków określonych domen. Brak tego roszczenia oznacza, że konto nie należy do domeny hostowanej przez Google.

Korzystając z pól email, email_verified i hd, możesz sprawdzić, czy Google hostuje adres e-mail i czy jest dla niego autorytatywny. W przypadkach, w których Google ma wiarygodne informacje, użytkownik jest uznawany za prawowitego właściciela konta i możesz pominąć hasło lub inne metody weryfikacji.

Sytuacje, w których Google jest miarodajne:

• email ma sufiks @gmail.com, jest to konto Gmail.
• email_verified jest prawdziwe i hd jest ustawione, jest to konto Google Workspace.

Użytkownicy mogą rejestrować konta Google bez używania Gmaila ani Google Workspace. Gdy email nie zawiera sufiksu @gmail.com i nie ma parametru hd, Google nie jest autorytatywny i zaleca się użycie hasła lub innych metod weryfikacji użytkownika. email_verified może być też prawdziwe, ponieważ Google początkowo zweryfikowało użytkownika podczas tworzenia konta Google, ale od tego czasu własność konta e-mail w usłudze innej firmy mogła ulec zmianie.

Zamiast pisać własny kod do wykonywania tych kroków weryfikacji, zdecydowanie zalecamy używanie biblioteki klienta interfejsu Google API dla Twojej platformy lub ogólnej biblioteki JWT. Na potrzeby programowania i debugowania możesz wywołać nasz tokeninfopunkt końcowy weryfikacji.

使用 Google API 客户端库

使用某个 Google API 客户端库（例如 Java、 Node.js、 PHP、 Python） 是在生产环境中验证 Google ID 令牌的推荐方法。

import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;

...

GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
    // Specify the WEB_CLIENT_ID of the app that accesses the backend:
    .setAudience(Collections.singletonList(WEB_CLIENT_ID))
    // Or, if multiple clients access the backend:
    //.setAudience(Arrays.asList(WEB_CLIENT_ID_1, WEB_CLIENT_ID_2, WEB_CLIENT_ID_3))
    .build();

// (Receive idTokenString by HTTPS POST)

GoogleIdToken idToken = verifier.verify(idTokenString);
if (idToken != null) {
  Payload payload = idToken.getPayload();

  // Print user identifier
  String userId = payload.getSubject();
  System.out.println("User ID: " + userId);

  // Get profile information from payload
  String email = payload.getEmail();
  boolean emailVerified = Boolean.valueOf(payload.getEmailVerified());
  String name = (String) payload.get("name");
  String pictureUrl = (String) payload.get("picture");
  String locale = (String) payload.get("locale");
  String familyName = (String) payload.get("family_name");
  String givenName = (String) payload.get("given_name");

  // Use or store profile information
  // ...

} else {
  System.out.println("Invalid ID token.");
}

npm install google-auth-library --save

const {OAuth2Client} = require('google-auth-library');
const client = new OAuth2Client();
async function verify() {
  const ticket = await client.verifyIdToken({
      idToken: token,
      audience: WEB_CLIENT_ID,  // Specify the WEB_CLIENT_ID of the app that accesses the backend
      // Or, if multiple clients access the backend:
      //[WEB_CLIENT_ID_1, WEB_CLIENT_ID_2, WEB_CLIENT_ID_3]
  });
  const payload = ticket.getPayload();
  const userid = payload['sub'];
  // If the request specified a Google Workspace domain:
  // const domain = payload['hd'];
}
verify().catch(console.error);

composer require google/apiclient

require_once 'vendor/autoload.php';

// Get $id_token via HTTPS POST.

$client = new Google_Client(['client_id' => $WEB_CLIENT_ID]);  // Specify the WEB_CLIENT_ID of the app that accesses the backend
$payload = $client->verifyIdToken($id_token);
if ($payload) {
  $userid = $payload['sub'];
  // If the request specified a Google Workspace domain
  //$domain = $payload['hd'];
} else {
  // Invalid ID token
}

from google.oauth2 import id_token
from google.auth.transport import requests

# (Receive token by HTTPS POST)
# ...

try:
    # Specify the WEB_CLIENT_ID of the app that accesses the backend:
    idinfo = id_token.verify_oauth2_token(token, requests.Request(), WEB_CLIENT_ID)

    # Or, if multiple clients access the backend server:
    # idinfo = id_token.verify_oauth2_token(token, requests.Request())
    # if idinfo['aud'] not in [WEB_CLIENT_ID_1, WEB_CLIENT_ID_2, WEB_CLIENT_ID_3]:
    #     raise ValueError('Could not verify audience.')

    # If the request specified a Google Workspace domain
    # if idinfo['hd'] != DOMAIN_NAME:
    #     raise ValueError('Wrong domain name.')

    # ID token is valid. Get the user's Google Account ID from the decoded token.
    userid = idinfo['sub']
except ValueError:
    # Invalid token
    pass

调用 tokeninfo 端点

为调试验证 ID 令牌签名的一种简单方法是 使用 tokeninfo 端点。调用此端点涉及 这个额外的网络请求会为您完成大部分的验证工作， 验证和载荷提取。不适合在生产环境中使用 因为请求可能会受到限制或出现间歇性错误。

如需使用 tokeninfo 端点验证 ID 令牌，请创建 HTTPS POST 或 GET 请求发送到端点，并在 id_token 参数。 例如，要验证令牌“XYZ123”，请发出以下 GET 请求：

https://oauth2.googleapis.com/tokeninfo?id_token=XYZ123

如果令牌经过正确签名，并且 iss 和 exp 具有预期值，就会收到 HTTP 200 响应，其中正文 包含 JSON 格式的 ID 令牌声明。 以下是示例响应：

{
 // These six fields are included in all Google ID Tokens.
 "iss": "https://accounts.google.com",
 "sub": "110169484474386276334",
 "azp": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
 "aud": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
 "iat": "1433978353",
 "exp": "1433981953",

 // These seven fields are only included when the user has granted the "profile" and
 // "email" OAuth scopes to the application.
 "email": "testuser@gmail.com",
 "email_verified": "true",
 "name" : "Test User",
 "picture": "https://lh4.googleusercontent.com/-kYgzyAWpZzJ/ABCDEFGHI/AAAJKLMNOP/tIXL9Ir44LE/s99-c/photo.jpg",
 "given_name": "Test",
 "family_name": "User",
 "locale": "en"
}

如果您需要验证 ID 令牌是否代表 Google Workspace 账号，可以先查看 hd 声明，指示用户的托管网域。只有在以下情况下， 从而仅允许特定网域中的成员访问资源。缺少此声明 表示该账号不属于 Google Workspace 托管网域。

Tworzenie konta lub sesji

Po zweryfikowaniu tokena sprawdź, czy użytkownik jest już na Twoim koncie w bazie danych. Jeśli tak, zorganizuj uwierzytelnioną sesję użytkownika. Jeśli użytkownik nie ma jeszcze w bazie danych użytkowników, utwórz nowy rekord użytkownika na podstawie tych informacji w ładunku tokena identyfikatora i ustanowić sesję dla użytkownika. Możesz prosić użytkownika do wszelkich dodatkowych informacji w profilu wymaganych po wykryciu nowego użytkownika w aplikacji.

Ochrona użytkowników kont z Ochroną wszystkich kont

Jeśli polegasz na logowaniu użytkownika przez Google, automatycznie będziesz korzystać ze wszystkich funkcje zabezpieczeń i infrastrukturę utworzoną przez Google do ochrony danych użytkownika. Pamiętaj jednak: w mało prawdopodobnym przypadku, gdy konto Google użytkownika zostanie przejęte lub na koncie zostały podjęte inne działania, może być szczególnie podatna na atak, Aby lepiej chronić swoje w przypadku głównych zdarzeń związanych z bezpieczeństwem, należy użyć funkcji Dla wielu kont Ochrona, aby otrzymywać od Google alerty bezpieczeństwa. Po otrzymaniu tych zdarzeń uzyskać wgląd w ważne zmiany dotyczące bezpieczeństwa konta Google użytkownika oraz możesz podjąć działania w swojej usłudze, aby zabezpieczyć swoje konta.