Autentica con un server di backend

Se utilizzi Google Sign-In con un'app o un sito che comunica con un server back-end, potresti dover identificare l'utente attualmente connesso al server. Per farlo in modo sicuro, dopo che un utente si è registrato correttamente, invia il token ID dell'utente al tuo server utilizzando HTTPS. Quindi, sul server, verifica l'integrità del token ID e utilizza le informazioni dell'utente contenute nel token per stabilire una sessione o creare un nuovo account.

Invia il token ID al tuo server

Dopo che un utente si è registrato correttamente, ottieni il token ID dell'utente:

function onSignIn(googleUser) {
  var id_token = googleUser.getAuthResponse().id_token;
  ...
}

Quindi, invia il token ID al tuo server con una richiesta POST HTTPS:

var xhr = new XMLHttpRequest();
xhr.open('POST', 'https://yourbackend.example.com/tokensignin');
xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
xhr.onload = function() {
  console.log('Signed in as: ' + xhr.responseText);
};
xhr.send('idtoken=' + id_token);

Verifica l'integrità del token ID

Dopo aver ricevuto il token ID da HTTPS POST, è necessario verificare l'integrità del token. Per verificare che il token sia valido, assicurati che i seguenti criteri siano soddisfatti:

  • Il token ID è firmato correttamente da Google. Utilizza le chiavi pubbliche di Google (disponibili in formato JWK o PEM ) per verificare la firma del token. Queste chiavi vengono ruotate regolarmente; esaminare l'intestazione Cache-Control nella risposta per determinare quando è necessario recuperarli di nuovo.
  • Il valore di aud nel token ID è uguale a uno degli ID client della tua app. Questo controllo è necessario per impedire che i token ID rilasciati a un'app dannosa vengano utilizzati per accedere ai dati sullo stesso utente sul server back-end dell'app.
  • Il valore di iss nel token ID è uguale a accounts.google.com o https://accounts.google.com .
  • Il tempo di scadenza ( exp ) del token ID non è trascorso.
  • Se desideri limitare l'accesso ai soli membri del tuo dominio G Suite, verifica che il token ID abbia una rivendicazione hd che corrisponda al nome del tuo dominio G Suite.

Anziché scrivere il tuo codice per eseguire questi passaggi di verifica, ti consigliamo vivamente di utilizzare una libreria client API di Google per la tua piattaforma o una libreria JWT generica. Per lo sviluppo e il debug, puoi chiamare il nostro endpoint di convalida di tokeninfo .

Utilizzo di una libreria client dell'API di Google

L'utilizzo di una delle librerie client API di Google (ad esempio Java , Node.js , PHP , Python ) è il modo consigliato per convalidare i token ID Google in un ambiente di produzione.

Giava

Per convalidare un token ID in Java, utilizza l'oggetto GoogleIdTokenVerifier . Per esempio:

import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;

...

GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
    // Specify the CLIENT_ID of the app that accesses the backend:
    .setAudience(Collections.singletonList(CLIENT_ID))
    // Or, if multiple clients access the backend:
    //.setAudience(Arrays.asList(CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3))
    .build();

// (Receive idTokenString by HTTPS POST)

GoogleIdToken idToken = verifier.verify(idTokenString);
if (idToken != null) {
  Payload payload = idToken.getPayload();

  // Print user identifier
  String userId = payload.getSubject();
  System.out.println("User ID: " + userId);

  // Get profile information from payload
  String email = payload.getEmail();
  boolean emailVerified = Boolean.valueOf(payload.getEmailVerified());
  String name = (String) payload.get("name");
  String pictureUrl = (String) payload.get("picture");
  String locale = (String) payload.get("locale");
  String familyName = (String) payload.get("family_name");
  String givenName = (String) payload.get("given_name");

  // Use or store profile information
  // ...

} else {
  System.out.println("Invalid ID token.");
}

Il metodo GoogleIdTokenVerifier.verify() verifica la firma JWT, l' aud , l' iss e l' exp .

Se desideri limitare l'accesso solo ai membri del tuo dominio G Suite, verifica anche la rivendicazione hd controllando il nome di dominio restituito dal metodo Payload.getHostedDomain() .

Node.js

Per convalidare un token ID in Node.js, utilizza la libreria di autenticazione di Google per Node.js. Installa la libreria:

npm install google-auth-library --save
Quindi, chiama la funzione verifyIdToken() . Per esempio:

const {OAuth2Client} = require('google-auth-library');
const client = new OAuth2Client(CLIENT_ID);
async function verify() {
  const ticket = await client.verifyIdToken({
      idToken: token,
      audience: CLIENT_ID,  // Specify the CLIENT_ID of the app that accesses the backend
      // Or, if multiple clients access the backend:
      //[CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]
  });
  const payload = ticket.getPayload();
  const userid = payload['sub'];
  // If request specified a G Suite domain:
  // const domain = payload['hd'];
}
verify().catch(console.error);

La funzione verifyIdToken verifica la firma JWT, l' aud , l' verifyIdToken exp e l' iss .

Se desideri limitare l'accesso solo ai membri del tuo dominio G Suite, verifica anche che la rivendicazione hd corrisponda al nome del tuo dominio G Suite.

PHP

Per convalidare un token ID in PHP, utilizza la libreria client API di Google per PHP . Installa la libreria (ad esempio, utilizzando Composer):

composer require google/apiclient
Quindi, chiama la funzione verifyIdToken() . Per esempio:

require_once 'vendor/autoload.php';

// Get $id_token via HTTPS POST.

$client = new Google_Client(['client_id' => $CLIENT_ID]);  // Specify the CLIENT_ID of the app that accesses the backend
$payload = $client->verifyIdToken($id_token);
if ($payload) {
  $userid = $payload['sub'];
  // If request specified a G Suite domain:
  //$domain = $payload['hd'];
} else {
  // Invalid ID token
}

La funzione verifyIdToken verifica la firma JWT, l' aud , l' verifyIdToken exp e l' iss .

Se desideri limitare l'accesso solo ai membri del tuo dominio G Suite, verifica anche che la rivendicazione hd corrisponda al nome del tuo dominio G Suite.

Pitone

Per convalidare un token ID in Python, usa la funzione verify_oauth2_token . Per esempio:

from google.oauth2 import id_token
from google.auth.transport import requests

# (Receive token by HTTPS POST)
# ...

try:
    # Specify the CLIENT_ID of the app that accesses the backend:
    idinfo = id_token.verify_oauth2_token(token, requests.Request(), CLIENT_ID)

    # Or, if multiple clients access the backend server:
    # idinfo = id_token.verify_oauth2_token(token, requests.Request())
    # if idinfo['aud'] not in [CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]:
    #     raise ValueError('Could not verify audience.')

    # If auth request is from a G Suite domain:
    # if idinfo['hd'] != GSUITE_DOMAIN_NAME:
    #     raise ValueError('Wrong hosted domain.')

    # ID token is valid. Get the user's Google Account ID from the decoded token.
    userid = idinfo['sub']
except ValueError:
    # Invalid token
    pass

La funzione verify_oauth2_token verifica la firma JWT, l' aud e l' exp . È inoltre necessario verificare l' verify_oauth2_token hd (se applicabile) esaminando l'oggetto restituito da verify_oauth2_token . Se più client accedono al server back-end, verificare anche manualmente l' aud .

Chiamata all'endpoint tokeninfo

Un modo semplice per convalidare la firma di un token ID per il debug consiste nell'usare l'endpoint tokeninfo . La chiamata a questo endpoint implica una richiesta di rete aggiuntiva che esegue la maggior parte della convalida mentre si verifica la corretta convalida e l'estrazione del payload nel proprio codice. Non è adatto per l'uso nel codice di produzione poiché le richieste potrebbero essere limitate o altrimenti soggette a errori intermittenti.

Per convalidare un token ID utilizzando l'endpoint tokeninfo , effettuare una richiesta HTTPS POST o GET all'endpoint e passare il token ID nel parametro id_token . Ad esempio, per convalidare il token "XYZ123", effettua la seguente richiesta GET:

https://oauth2.googleapis.com/tokeninfo?id_token=XYZ123

Se il token è firmato correttamente e le attestazioni iss e exp hanno i valori previsti, riceverai una risposta HTTP 200, in cui il corpo contiene le attestazioni del token ID in formato JSON. Ecco un esempio di risposta:

{
 // These six fields are included in all Google ID Tokens.
 "iss": "https://accounts.google.com",
 "sub": "110169484474386276334",
 "azp": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
 "aud": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
 "iat": "1433978353",
 "exp": "1433981953",

 // These seven fields are only included when the user has granted the "profile" and
 // "email" OAuth scopes to the application.
 "email": "testuser@gmail.com",
 "email_verified": "true",
 "name" : "Test User",
 "picture": "https://lh4.googleusercontent.com/-kYgzyAWpZzJ/ABCDEFGHI/AAAJKLMNOP/tIXL9Ir44LE/s99-c/photo.jpg",
 "given_name": "Test",
 "family_name": "User",
 "locale": "en"
}

Se sei un cliente di G Suite, potresti anche essere interessato alla rivendicazione hd , che indica il dominio ospitato dell'utente. Può essere utilizzato per limitare l'accesso a una risorsa solo ai membri di determinati domini. L'assenza di questa dichiarazione indica che l'utente non appartiene a un dominio ospitato da G Suite.

Crea un account o una sessione

Dopo aver verificato il token, controlla se l'utente è già nel tuo database utenti. In tal caso, stabilire una sessione autenticata per l'utente. Se l'utente non è ancora nel database degli utenti, creare un nuovo record utente dalle informazioni nel payload del token ID e stabilire una sessione per l'utente. Puoi richiedere all'utente qualsiasi informazione aggiuntiva sul profilo di cui hai bisogno quando rilevi un utente appena creato nella tua app.

Protezione degli account degli utenti con la protezione su più account

Quando ti affidi a Google per accedere a un utente, trarrai automaticamente vantaggio da tutte le funzionalità di sicurezza e l'infrastruttura che Google ha creato per salvaguardare i dati dell'utente. Tuttavia, nell'improbabile eventualità che l'account Google dell'utente venga compromesso o si verifichi un altro evento di sicurezza significativo, anche la tua app può essere vulnerabile agli attacchi. Per proteggere meglio i tuoi account da eventuali eventi di sicurezza importanti, utilizza la protezione per più account per ricevere avvisi di sicurezza da Google. Quando ricevi questi eventi, ottieni visibilità su importanti modifiche alla sicurezza dell'account Google dell'utente e puoi quindi agire sul tuo servizio per proteggere i tuoi account.