Sunucu tarafı uygulamalar için Google ile Oturum Açma

Google hizmetlerini, kullanıcı çevrimdışıyken bir kullanıcı adına kullanmak için kullanıcının JavaScript API istemcisini kullanarak istemci tarafında uygulamanızı yetkilendirdiği ve sunucunuza özel bir tek seferlik yetkilendirme kodu gönderdiğiniz karma bir sunucu tarafı akışı kullanmanız gerekir. Sunucunuz, kullanıcı çevrimdışıyken gerçekleştirilebilecek kendi API çağrılarını yapabilmesi için Google'dan kendi erişim ve yenileme jetonlarını almak amacıyla bu tek kullanımlık kodu değiştirir. Bu tek seferlik kod akışının, hem salt sunucu tarafı akışına hem de sunucunuza erişim jetonları gönderilmesine kıyasla güvenlik açısından avantajları vardır.

Sunucu tarafı uygulamanız için erişim jetonu almak üzere oturum açma akışı aşağıda gösterilmiştir.

Kullanıcı, uygulamanızdan istemci uygulamanızdaki oturum aç düğmesini tıklar. Bu işlem Google'ın yetkilendirme sunucularına (1) bir yetkilendirme isteği gönderir.

Kullanıcınız bu uygulamayı henüz yetkilendirmediyse bu istek, OAuth 2.0 iletişim kutusunu tetikler. Bu iletişim kutusu, kullanıcı (2) için açılır ve kapsamlarınız tarafından listelenen izinleri uygulamanıza vermelerini ister. Kullanıcı bu işlemi gerçekleştirirse access_token, id_token ve tek kullanımlık kod istemcinize (3) döndürülür.

Daha sonra, oturum açma düğmesinden tek seferlik kodu sunucunuza gönderebilirsiniz (4). Sunucuda kod olduğunda, sunucu bu kodu, sunucu tarafında yerel olarak depolanabilecek bir access_token (5, 6) ile değiştirebilir. Böylece sunucu, istemciden bağımsız olarak Google API çağrıları yapabilir.

İsteğe bağlı son adım da, sunucunuzdan istemcinize kullanıcının "tamamen giriş yapmış" olduğunun (7) artık onaylandığını belirten bir mesaj göndermeyi içerir.

Tek kullanımlık kodların çeşitli güvenlik avantajları vardır. Kodlar sayesinde Google, jetonları herhangi bir aracı olmadan doğrudan sunucunuza sağlar. Kod sızıntısını önermesek de, istemci sırrınız olmadan bu kodları kullanmak çok zordur. İstemcinizi gizli tutun!

Tek seferlik kod akışını uygulama

Google ile Oturum Açma düğmesi hem bir erişim jetonu hem de bir yetkilendirme kodu sağlar. Bu kod, sunucunuzun erişim jetonu için Google sunucularıyla değiştirebileceği tek seferlik bir koddur.

Aşağıdaki örnek kod, tek seferlik kod akışının nasıl yapılacağını gösterir.

Google ile Oturum Açma'da tek seferlik kod akışıyla kimlik doğrulamak için şunları yapmanız gerekir:

1. Adım: İstemci kimliği ve istemci gizli anahtarı oluşturun

İstemci kimliği ve istemci gizli anahtarı oluşturmak için bir Google API Konsolu projesi oluşturun, OAuth istemci kimliği ayarlayın ve JavaScript kaynaklarınızı kaydedin:

1. Google API Konsolu'na gidin.

2. Proje açılır menüsünden mevcut bir projeyi seçin veya Yeni proje oluştur'u seçerek yeni bir proje oluşturun.

3. "API'ler ve Hizmetler" altındaki kenar çubuğunda Kimlik bilgileri'ni seçin ve ardından İzin ekranını yapılandır'ı tıklayın.

   Bir E-posta Adresi seçin, bir Ürün Adı belirtin ve Kaydet'e basın.

4. Credentials (Kimlik Bilgileri) sekmesinde, Create credentials (Kimlik bilgileri oluştur) açılır listesini seçin ve OAuth client ID (OAuth istemci kimliği) seçeneğini belirleyin.

5. Uygulama türü altında Web uygulaması'nı seçin.

   Uygulamanızın Google API'lerine erişmesine izin verilen kaynakları aşağıdaki şekilde kaydedin. Kaynak protokol, ad ve bağlantı noktasının benzersiz bir birleşimidir.

   1. Yetkili JavaScript kaynakları alanına uygulamanızın kaynağını girin. Uygulamanızın farklı protokoller, alanlar veya alt alanlarda çalışmasına izin vermek için birden fazla kaynak girebilirsiniz. Joker karakter kullanamazsınız. Aşağıdaki örnekte, ikinci URL bir üretim URL'si olabilir.

      http://localhost:8080
      https://myproductionurl.example.com
      

   2. Yetkili yönlendirme URI'si alanı bir değer gerektirmez. Yönlendirme URI'ları JavaScript API'leriyle kullanılmaz.

   3. Oluştur düğmesine basın.

6. Açılan OAuth istemcisi iletişim kutusundan istemci kimliğini kopyalayın. İstemci kimliği, uygulamanızın etkin Google API'lerine erişmesini sağlar.

2. Adım: Google platformu kitaplığını sayfanıza ekleyin

Bu index.html web sayfasının DOM'una bir komut dosyası ekleyen anonim bir işlevi gösteren aşağıdaki komut dosyalarını ekleyin.

<!-- The top of file index.html -->
<html itemscope itemtype="http://schema.org/Article">
<head>
  <!-- BEGIN Pre-requisites -->
  <script src="//ajax.googleapis.com/ajax/libs/jquery/1.8.2/jquery.min.js">
  </script>
  <script src="https://apis.google.com/js/client:platform.js?onload=start" async defer>
  </script>
  <!-- END Pre-requisites -->

3. Adım: GoogleAuth nesnesini başlatın

auth2 kitaplığını yükleyin ve GoogleAuth nesnesini başlatmak için gapi.auth2.init() yöntemini çağırın. init() yöntemini çağırdığınızda istemci kimliğinizi ve talep etmek istediğiniz kapsamları belirtin.

<!-- Continuing the <head> section -->
  <script>
    function start() {
      gapi.load('auth2', function() {
        auth2 = gapi.auth2.init({
          client_id: 'YOUR_CLIENT_ID.apps.googleusercontent.com',
          // Scopes to request in addition to 'profile' and 'email'
          //scope: 'additional_scope'
        });
      });
    }
  </script>
</head>
<body>
  <!-- ... -->
</body>
</html>

4. Adım: Sayfanıza oturum açma düğmesini ekleyin

Tek seferlik kod akışını başlatmak için oturum açma düğmesini web sayfanıza ve grantOfflineAccess() numarasını aramak için bir tıklama işleyici ekleyin.

<!-- Add where you want your sign-in button to render -->
<!-- Use an image that follows the branding guidelines in a real app -->
<button id="signinButton">Sign in with Google</button>
<script>
  $('#signinButton').click(function() {
    // signInCallback defined in step 6.
    auth2.grantOfflineAccess().then(signInCallback);
  });
</script>

5. Adım: Kullanıcıda oturum açın

Kullanıcı oturum açma düğmesini tıklar ve uygulamanıza istediğiniz izinlere erişim izni verir. Ardından, grantOfflineAccess().then() yönteminde belirttiğiniz geri çağırma işlevine yetkilendirme kodu içeren bir JSON nesnesi aktarılır. Örneğin:

{"code":"4/yU4cQZTMnnMtetyFcIWNItG32eKxxxgXXX-Z4yyJJJo.4qHskT-UtugceFc0ZRONyF4z7U4UmAI"}

6. Adım: Yetkilendirme kodunu sunucuya gönderin

code, sunucunuzun kendi erişim jetonu ve yenileme jetonu ile değiştirebileceği tek seferlik kodunuzdur. Yenileme jetonunu yalnızca kullanıcıya çevrimdışı erişim isteyen bir yetkilendirme iletişim kutusu gösterildikten sonra alabilirsiniz. 4. adımdaki OfflineAccessOptions bölümünde select-account prompt belirttiyseniz sonraki exchange'ler yenileme jetonu için null döndüreceğinden, daha sonra kullanmak üzere aldığınız yenileme jetonunu saklamanız gerekir. Bu akış, standart OAuth 2.0 akışınıza göre daha fazla güvenlik sağlar.

Erişim jetonları her zaman geçerli bir yetkilendirme kodu değişimiyle döndürülür.

Aşağıdaki komut dosyası, oturum açma düğmesi için bir geri çağırma işlevi tanımlar. Oturum açma işlemi başarılı olduğunda işlev, erişim jetonunu istemci taraflı kullanım için depolar ve tek seferlik kodu aynı alandaki sunucunuza gönderir.

<!-- Last part of BODY element in file index.html -->
<script>
function signInCallback(authResult) {
  if (authResult['code']) {

    // Hide the sign-in button now that the user is authorized, for example:
    $('#signinButton').attr('style', 'display: none');

    // Send the code to the server
    $.ajax({
      type: 'POST',
      url: 'http://example.com/storeauthcode',
      // Always include an `X-Requested-With` header in every AJAX request,
      // to protect against CSRF attacks.
      headers: {
        'X-Requested-With': 'XMLHttpRequest'
      },
      contentType: 'application/octet-stream; charset=utf-8',
      success: function(result) {
        // Handle or verify the server response.
      },
      processData: false,
      data: authResult['code']
    });
  } else {
    // There was an error.
  }
}
</script>

7. Adım: Erişim jetonu için yetkilendirme kodunu değiştirin

Sunucuda, yetkilendirme kodunu erişim ve yenileme jetonlarıyla değiştirin. Kullanıcı adına Google API'lerini çağırmak için erişim jetonunu kullanın. İsteğe bağlı olarak, erişim jetonunun süresi dolduğunda yeni bir erişim jetonu almak için yenileme jetonunu saklayın.

Profil erişimi isteğinde bulunduysanız kullanıcının temel profil bilgilerini içeren bir kimlik jetonu da alırsınız.

Örneğin:

// (Receive authCode via HTTPS POST)


if (request.getHeader("X-Requested-With") == null) {
  // Without the `X-Requested-With` header, this request could be forged. Aborts.
}

// Set path to the Web application client_secret_*.json file you downloaded from the
// Google API Console: https://console.cloud.google.com/apis/credentials
// You can also find your Web application client ID and client secret from the
// console and specify them directly when you create the GoogleAuthorizationCodeTokenRequest
// object.
String CLIENT_SECRET_FILE = "/path/to/client_secret.json";

// Exchange auth code for access token
GoogleClientSecrets clientSecrets =
    GoogleClientSecrets.load(
        JacksonFactory.getDefaultInstance(), new FileReader(CLIENT_SECRET_FILE));
GoogleTokenResponse tokenResponse =
          new GoogleAuthorizationCodeTokenRequest(
              new NetHttpTransport(),
              JacksonFactory.getDefaultInstance(),
              "https://oauth2.googleapis.com/token",
              clientSecrets.getDetails().getClientId(),
              clientSecrets.getDetails().getClientSecret(),
              authCode,
              REDIRECT_URI)  // Specify the same redirect URI that you use with your web
                             // app. If you don't have a web version of your app, you can
                             // specify an empty string.
              .execute();

String accessToken = tokenResponse.getAccessToken();

// Use access token to call API
GoogleCredential credential = new GoogleCredential().setAccessToken(accessToken);
Drive drive =
    new Drive.Builder(new NetHttpTransport(), JacksonFactory.getDefaultInstance(), credential)
        .setApplicationName("Auth Code Exchange Demo")
        .build();
File file = drive.files().get("appfolder").execute();

// Get profile info from ID token
GoogleIdToken idToken = tokenResponse.parseIdToken();
GoogleIdToken.Payload payload = idToken.getPayload();
String userId = payload.getSubject();  // Use this value as a key to identify a user.
String email = payload.getEmail();
boolean emailVerified = Boolean.valueOf(payload.getEmailVerified());
String name = (String) payload.get("name");
String pictureUrl = (String) payload.get("picture");
String locale = (String) payload.get("locale");
String familyName = (String) payload.get("family_name");
String givenName = (String) payload.get("given_name");

from apiclient import discovery
import httplib2
from oauth2client import client

# (Receive auth_code by HTTPS POST)


# If this request does not have `X-Requested-With` header, this could be a CSRF
if not request.headers.get('X-Requested-With'):
    abort(403)

# Set path to the Web application client_secret_*.json file you downloaded from the
# Google API Console: https://console.cloud.google.com/apis/credentials
CLIENT_SECRET_FILE = '/path/to/client_secret.json'

# Exchange auth code for access token, refresh token, and ID token
credentials = client.credentials_from_clientsecrets_and_code(
    CLIENT_SECRET_FILE,
    ['https://www.googleapis.com/auth/drive.appdata', 'profile', 'email'],
    auth_code)

# Call Google API
http_auth = credentials.authorize(httplib2.Http())
drive_service = discovery.build('drive', 'v3', http=http_auth)
appfolder = drive_service.files().get(fileId='appfolder').execute()

# Get profile info from ID token
userid = credentials.id_token['sub']
email = credentials.id_token['email']