बैकएंड सर्वर से पुष्टि करें

अगर किसी ऐसे ऐप्लिकेशन या साइट के साथ 'Google साइन इन' का इस्तेमाल किया जाता है जो बैकएंड सर्वर के साथ कम्यूनिकेट करता है, तो आपको सर्वर पर साइन इन किए हुए मौजूदा उपयोगकर्ता की पहचान करनी पड़ सकती है. सुरक्षित तरीके से साइन इन करने के लिए, जब कोई उपयोगकर्ता साइन इन कर ले, तब एचटीटीपीएस का इस्तेमाल करके, अपने सर्वर पर उपयोगकर्ता का आईडी टोकन भेजें. इसके बाद, सर्वर पर इस बात की पुष्टि करें कि आईडी टोकन सही है या नहीं. साथ ही, सेशन बनाने या नया खाता बनाने के लिए, टोकन में मौजूद उपयोगकर्ता की जानकारी का इस्तेमाल करें.

अपने सर्वर पर आईडी टोकन भेजें

उपयोगकर्ता के साइन इन करने के बाद, उपयोगकर्ता का आईडी टोकन पाएं:

function onSignIn(googleUser) {
  var id_token = googleUser.getAuthResponse().id_token;
  ...
}

इसके बाद, एचटीटीपीएस पोस्ट अनुरोध के साथ अपने सर्वर पर आईडी टोकन भेजें:

var xhr = new XMLHttpRequest();
xhr.open('POST', 'https://yourbackend.example.com/tokensignin');
xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
xhr.onload = function() {
  console.log('Signed in as: ' + xhr.responseText);
};
xhr.send('idtoken=' + id_token);

पुष्टि करना कि आईडी टोकन सही है या नहीं

एचटीटीपीएस POST से आईडी टोकन मिलने के बाद, आपको इसकी पुष्टि करनी होगी कि टोकन सही है या नहीं.

टोकन मान्य है या नहीं, इसकी पुष्टि करने के लिए पक्का करें कि नीचे दी गई शर्तों को पूरा किया गया हो:

• Google ने आईडी टोकन पर सही तरीके से हस्ताक्षर किया है. टोकन के हस्ताक्षर की पुष्टि करने के लिए, Google की सार्वजनिक कुंजियों (JWK या PEM फ़ॉर्मैट में उपलब्ध) का इस्तेमाल करें. इन कुंजियों को नियमित तौर पर घुमाया जाता है. जवाब में Cache-Control हेडर की जांच करके, यह तय करें कि आपको उन्हें फिर से कब वापस पाना चाहिए.
• आईडी टोकन में aud की वैल्यू आपके ऐप्लिकेशन के किसी क्लाइंट आईडी के बराबर है. यह जांच इसलिए ज़रूरी है, ताकि किसी नुकसान पहुंचाने वाले ऐप्लिकेशन को जारी किए गए आईडी टोकन, आपके ऐप्लिकेशन के बैकएंड सर्वर पर, उसी उपयोगकर्ता का डेटा ऐक्सेस करने के लिए इस्तेमाल न किए जा सकें.
• आईडी टोकन में iss की वैल्यू accounts.google.com या https://accounts.google.com के बराबर है.
• आईडी टोकन की समयसीमा (exp) खत्म नहीं हुई है.
• अगर आपको इस बात की पुष्टि करनी है कि आईडी टोकन, Google Workspace या Cloud संगठन के खाते के बारे में बताता है, तो hd दावा देखें. इससे पता चलता है कि उपयोगकर्ता का होस्ट किया गया डोमेन क्या है. किसी संसाधन के ऐक्सेस को सिर्फ़ कुछ डोमेन के सदस्यों को सीमित करते समय इसका इस्तेमाल करना चाहिए. यह दावा मौजूद न होने का मतलब है कि यह खाता, Google के होस्ट किए गए डोमेन से नहीं जुड़ा है.

पुष्टि करने के इन चरणों को पूरा करने के लिए खुद का कोड लिखने के बजाय, हमारा सुझाव है कि आप अपने प्लैटफ़ॉर्म के लिए, Google API क्लाइंट लाइब्रेरी या अलग-अलग कामों के लिए इस्तेमाल की जाने वाली JWT लाइब्रेरी इस्तेमाल करें. डेवलपमेंट और डीबग करने के लिए, हमारे tokeninfo वैलिडेशन एंडपॉइंट को कॉल किया जा सकता है.

Google API क्लाइंट लाइब्रेरी का इस्तेमाल करना

प्रोडक्शन एनवायरमेंट में, Google आईडी टोकन की पुष्टि करने के लिए, Google API क्लाइंट लाइब्रेरी में से किसी एक का इस्तेमाल करने का सुझाव दिया जाता है. जैसे, Java, Node.js, PHP, Python.

import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;

...

GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
    // Specify the CLIENT_ID of the app that accesses the backend:
    .setAudience(Collections.singletonList(CLIENT_ID))
    // Or, if multiple clients access the backend:
    //.setAudience(Arrays.asList(CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3))
    .build();

// (Receive idTokenString by HTTPS POST)

GoogleIdToken idToken = verifier.verify(idTokenString);
if (idToken != null) {
  Payload payload = idToken.getPayload();

  // Print user identifier
  String userId = payload.getSubject();
  System.out.println("User ID: " + userId);

  // Get profile information from payload
  String email = payload.getEmail();
  boolean emailVerified = Boolean.valueOf(payload.getEmailVerified());
  String name = (String) payload.get("name");
  String pictureUrl = (String) payload.get("picture");
  String locale = (String) payload.get("locale");
  String familyName = (String) payload.get("family_name");
  String givenName = (String) payload.get("given_name");

  // Use or store profile information
  // ...

} else {
  System.out.println("Invalid ID token.");
}

npm install google-auth-library --save

const {OAuth2Client} = require('google-auth-library');
const client = new OAuth2Client();
async function verify() {
  const ticket = await client.verifyIdToken({
      idToken: token,
      audience: CLIENT_ID,  // Specify the CLIENT_ID of the app that accesses the backend
      // Or, if multiple clients access the backend:
      //[CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]
  });
  const payload = ticket.getPayload();
  const userid = payload['sub'];
  // If request specified a G Suite domain:
  // const domain = payload['hd'];
}
verify().catch(console.error);

composer require google/apiclient

require_once 'vendor/autoload.php';

// Get $id_token via HTTPS POST.

$client = new Google_Client(['client_id' => $CLIENT_ID]);  // Specify the CLIENT_ID of the app that accesses the backend
$payload = $client->verifyIdToken($id_token);
if ($payload) {
  $userid = $payload['sub'];
  // If request specified a G Suite domain:
  //$domain = $payload['hd'];
} else {
  // Invalid ID token
}

from google.oauth2 import id_token
from google.auth.transport import requests

# (Receive token by HTTPS POST)
# ...

try:
    # Specify the CLIENT_ID of the app that accesses the backend:
    idinfo = id_token.verify_oauth2_token(token, requests.Request(), CLIENT_ID)

    # Or, if multiple clients access the backend server:
    # idinfo = id_token.verify_oauth2_token(token, requests.Request())
    # if idinfo['aud'] not in [CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]:
    #     raise ValueError('Could not verify audience.')

    # If auth request is from a G Suite domain:
    # if idinfo['hd'] != GSUITE_DOMAIN_NAME:
    #     raise ValueError('Wrong hosted domain.')

    # ID token is valid. Get the user's Google Account ID from the decoded token.
    userid = idinfo['sub']
except ValueError:
    # Invalid token
    pass

टोकन जानकारी एंडपॉइंट को कॉल करना

डीबगिंग के लिए, आईडी टोकन सिग्नेचर की पुष्टि करने का एक आसान तरीका tokeninfo एंडपॉइंट का इस्तेमाल करना है. इस एंडपॉइंट को कॉल करने के लिए एक और नेटवर्क अनुरोध शामिल होता है. इससे अपने कोड में सही तरीके से पुष्टि करने और पेलोड निकालने की जांच करने के दौरान, पुष्टि का ज़्यादातर काम किया जाता है. यह प्रोडक्शन कोड में इस्तेमाल करने के लिए सही नहीं है, क्योंकि अनुरोधों को रोका जा सकता है या कभी-कभी गड़बड़ियां भी हो सकती हैं.

tokeninfo एंडपॉइंट का इस्तेमाल करके, किसी आईडी टोकन की पुष्टि करने के लिए, एंडपॉइंट पर एचटीटीपीएस POST या GET अनुरोध भेजें और id_token पैरामीटर में अपना आईडी टोकन पास करें. उदाहरण के लिए, "XYZ123" टोकन की पुष्टि करने के लिए, यह GET अनुरोध करें:

https://oauth2.googleapis.com/tokeninfo?id_token=XYZ123

अगर टोकन सही तरीके से साइन किया गया है और iss और exp के दावों में अनुमानित वैल्यू हैं, तो आपको एचटीटीपी 200 रिस्पॉन्स मिलेगा. इस रिस्पॉन्स के मुख्य भाग में JSON फ़ॉर्मैट वाले आईडी टोकन के दावे शामिल होंगे. यहां जवाब का एक उदाहरण दिया गया है:

{
 // These six fields are included in all Google ID Tokens.
 "iss": "https://accounts.google.com",
 "sub": "110169484474386276334",
 "azp": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
 "aud": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
 "iat": "1433978353",
 "exp": "1433981953",

 // These seven fields are only included when the user has granted the "profile" and
 // "email" OAuth scopes to the application.
 "email": "testuser@gmail.com",
 "email_verified": "true",
 "name" : "Test User",
 "picture": "https://lh4.googleusercontent.com/-kYgzyAWpZzJ/ABCDEFGHI/AAAJKLMNOP/tIXL9Ir44LE/s99-c/photo.jpg",
 "given_name": "Test",
 "family_name": "User",
 "locale": "en"
}

अगर आपको इस बात की पुष्टि करनी है कि आईडी टोकन से Google Workspace खाते का पता चलता है, तो hd दावा देखें. इससे पता चलता है कि उपयोगकर्ता का होस्ट किया गया डोमेन क्या है. इसका इस्तेमाल तब करना चाहिए, जब किसी संसाधन के ऐक्सेस को सिर्फ़ कुछ डोमेन के सदस्यों तक सीमित किया गया हो. यह दावा मौजूद न होने का मतलब है कि यह खाता, Google Workspace के होस्ट किए गए डोमेन से जुड़ा नहीं है.

खाता या सेशन बनाएं

टोकन की पुष्टि करने के बाद, देखें कि उपयोगकर्ता पहले से आपके उपयोगकर्ता डेटाबेस में है या नहीं. अगर हां, तो उपयोगकर्ता के लिए एक पुष्टि किया गया सेशन तय करें. अगर उपयोगकर्ता अब तक आपके उपयोगकर्ता डेटाबेस में नहीं है, तो आईडी टोकन पेलोड की जानकारी से एक नया उपयोगकर्ता रिकॉर्ड बनाएं और उपयोगकर्ता के लिए एक सेशन बनाएं. अगर आपको अपने ऐप्लिकेशन में किसी नए उपयोगकर्ता का पता चलता है, तो उपयोगकर्ता को प्रोफ़ाइल से जुड़ी ऐसी अतिरिक्त जानकारी देने के लिए कहा जा सकता है जिसकी ज़रूरत हो.

'सभी खातों की सुरक्षा' सुविधा की मदद से उपयोगकर्ताओं के खातों को सुरक्षित रखना

अगर किसी उपयोगकर्ता के खाते में साइन इन करने के लिए Google पर भरोसा किया जाता है, तो आपको अपने-आप उन सभी सुरक्षा सुविधाओं और इन्फ़्रास्ट्रक्चर का फ़ायदा मिलेगा जिन्हें Google ने, उपयोगकर्ता के डेटा की सुरक्षा के लिए बनाया है. हालांकि, अगर उपयोगकर्ता के Google खाते से छेड़छाड़ होने की कोई संभावना नहीं है या सुरक्षा से जुड़ी किसी दूसरी अहम गतिविधि का पता चलता है, तो आपके ऐप्लिकेशन पर हमले का खतरा भी हो सकता है. अपने खातों को सुरक्षा से जुड़ी किसी भी बड़ी गतिविधि से बचाने के लिए, सभी खातों की सुरक्षा सुविधा का इस्तेमाल करें. इससे आपको Google से सुरक्षा से जुड़ी चेतावनियां मिलती हैं. इस तरह के इवेंट मिलने पर, आपको उपयोगकर्ता के Google खाते की सुरक्षा से जुड़े अहम बदलावों की जानकारी मिलती है. इसके बाद, अपने खातों को सुरक्षित रखने के लिए अपनी सेवा पर कार्रवाई की जा सकती है.