Vinculação de conta do Google com OAuth

As contas são vinculadas usando fluxos de código de autorização e implícito OAuth 2.0 padrão da indústria. Seu serviço deve suportar autorização compatível com OAuth 2.0 e endpoints de troca de token .

No fluxo implícito , o Google abre seu endpoint de autorização no navegador do usuário. Após o login bem-sucedido, você retorna um token de acesso de longa duração ao Google. Este token de acesso agora está incluído em todas as solicitações enviadas do Google.

No fluxo do código de autorização , você precisa de dois endpoints:

  • O endpoint de autorização , que apresenta a IU de login para seus usuários que ainda não estão conectados. O endpoint de autorização também cria um código de autorização de curta duração para registrar o consentimento dos usuários para o acesso solicitado.

  • O ponto de extremidade de troca de token , que é responsável por dois tipos de trocas:

    1. Troca um código de autorização por um token de atualização de longa duração e um token de acesso de curta duração. Essa troca acontece quando o usuário passa pelo fluxo de vinculação de contas.
    2. Troca um token de atualização de longa duração por um token de acesso de curta duração. Essa troca acontece quando o Google precisa de um novo token de acesso porque aquele que havia expirado.

Escolha um fluxo OAuth 2.0

Embora o fluxo implícito seja mais simples de implementar, o Google recomenda que os tokens de acesso emitidos pelo fluxo implícito nunca expirem. Isso ocorre porque o usuário é forçado a vincular sua conta novamente depois que um token expira com o fluxo implícito. Se você precisar da expiração do token por motivos de segurança, é altamente recomendável usar o fluxo do código de autorização .

Diretrizes de design

Esta seção descreve os requisitos de design e recomendações para a tela do usuário que você hospeda para fluxos de vinculação OAuth. Depois de ser chamada pelo aplicativo do Google, sua plataforma exibe um login na página do Google e uma tela de consentimento de vinculação de conta para o usuário. O usuário é direcionado de volta ao aplicativo do Google após dar seu consentimento para vincular contas.

Esta figura mostra as etapas para um usuário vincular sua conta do Google ao seu sistema de autenticação. A primeira captura de tela mostra links iniciados pelo usuário em sua plataforma. A segunda imagem mostra o login do usuário no Google, enquanto a terceira mostra o consentimento e a confirmação do usuário para vincular sua conta do Google ao seu aplicativo. A captura de tela final mostra uma conta de usuário vinculada com sucesso no Google app.
Figura 1. Conta que vincula o login do usuário ao Google e as telas de consentimento.

Requisitos

  1. Você deve comunicar que a conta do usuário será vinculada ao Google, não a um produto específico do Google, como o Google Home ou o Google Assistente.

Recomendações

Recomendamos que você faça o seguinte:

  1. Exibir a política de privacidade do Google. Inclua um link para a Política de Privacidade do Google na tela de consentimento.

  2. Dados a serem compartilhados. Use uma linguagem clara e concisa para informar ao usuário quais dados do Google exige e por quê.

  3. Apelo à ação claro. Defina uma frase de chamariz clara em sua tela de consentimento, como “Concordar e vincular”. Isso ocorre porque os usuários precisam entender quais dados são obrigados a compartilhar com o Google para vincular suas contas.

  4. Capacidade de cancelar. Fornece uma maneira para os usuários voltarem ou cancelarem, caso optem por não vincular.

  5. Processo de login claro. Certifique-se de que os usuários tenham um método claro para fazer login em suas contas do Google, como campos para seu nome de usuário e senha ou Login com o Google .

  6. Capacidade de desvincular. Oferece um mecanismo para os usuários se desvincularem, como um URL para as configurações de sua conta em sua plataforma. Como alternativa, você pode incluir um link para a Conta do Google, onde os usuários podem gerenciar suas contas vinculadas.

  7. Capacidade de alterar a conta do usuário. Sugira um método para os usuários mudarem de conta. Isso é especialmente benéfico se os usuários tendem a ter várias contas.

    • Se um usuário precisar fechar a tela de consentimento para trocar de conta, envie um erro recuperável ao Google para que o usuário possa fazer login na conta desejada com o link OAuth e o fluxo implícito .
  8. Inclua seu logotipo. Exiba o logotipo de sua empresa na tela de consentimento. Use suas diretrizes de estilo para colocar seu logotipo. Se você deseja exibir também o logotipo do Google, consulte Logotipos e marcas registradas .

Crie o projeto

Para criar seu projeto para usar a vinculação de contas:

  1. Go to the Google API Console.
  2. Clique em Criar projeto .
  3. Digite um nome ou aceite a sugestão gerada.
  4. Confirme ou edite os campos restantes.
  5. Clique em Create .

Para visualizar o seu ID do projeto:

  1. Go to the Google API Console.
  2. Encontre seu projeto na tabela na página de destino. O ID do projeto aparece na coluna ID .

O processo de vinculação de contas do Google inclui uma tela de consentimento que informa aos usuários o aplicativo que está solicitando acesso aos seus dados, que tipo de dados eles estão solicitando e os termos que se aplicam. Você precisará configurar sua tela de consentimento OAuth antes de gerar um ID de cliente da API do Google.

  1. Abra a página da tela de consentimento OAuth do console de APIs do Google.
  2. Se solicitado, selecione o projeto que você acabou de criar.
  3. Na página "Tela de consentimento do OAuth", preencha o formulário e clique no botão “Salvar”.

    Nome do aplicativo: o nome do aplicativo que solicita consentimento. O nome deve refletir com precisão o seu aplicativo e ser consistente com o nome do aplicativo que os usuários veem em outros lugares. O nome do aplicativo será mostrado na tela de consentimento de vinculação de conta.

    Logotipo do aplicativo: uma imagem na tela de consentimento que ajudará os usuários a reconhecer seu aplicativo. O logotipo é mostrado na tela de consentimento de vinculação de conta e nas configurações da conta

    Email de suporte: para que os usuários entrem em contato com você com perguntas sobre seu consentimento.

    Escopos para APIs do Google: os escopos permitem que seu aplicativo acesse os dados privados do Google de seu usuário. Para o caso de uso de vinculação de contas do Google, o escopo padrão (e-mail, perfil, openid) é suficiente, você não precisa adicionar nenhum escopo confidencial. Geralmente, é uma prática recomendada solicitar escopos de forma incremental, no momento em que o acesso é necessário, em vez de no início. Aprenda mais .

    Domínios autorizados: para proteger você e seus usuários, o Google só permite que aplicativos que se autenticam usando OAuth usem Domínios autorizados. Os links de seus aplicativos devem ser hospedados em Domínios autorizados. Saiba mais .

    Link da página inicial do aplicativo: página inicial do seu aplicativo. Deve ser hospedado em um domínio autorizado.

    Link da política de privacidade do aplicativo: mostrado na tela de consentimento de vinculação de contas do Google. Deve ser hospedado em um domínio autorizado.

    Link dos termos de serviço do aplicativo (opcional): deve ser hospedado em um domínio autorizado.

    Figura 1 . Tela de consentimento para vinculação de contas do Google para um aplicativo fictício, Tunery

  4. Marque "Status de verificação", se sua inscrição precisar de verificação, clique no botão "Enviar para verificação" para enviar sua inscrição para verificação. Consulte os requisitos de verificação do OAuth para obter detalhes.

Implementar seu servidor OAuth

Uma implementação de servidor OAuth 2.0 do fluxo de código de autorização consiste em dois pontos de extremidade, que seu serviço disponibiliza por HTTPS. O primeiro endpoint é o endpoint de autorização, que é responsável por localizar ou obter o consentimento dos usuários para acesso aos dados. O endpoint de autorização apresenta uma IU de login para seus usuários que ainda não estão conectados e registra o consentimento para o acesso solicitado. O segundo ponto de extremidade é o ponto de extremidade de troca de tokens, que é usado para obter strings criptografadas, chamadas tokens, que autorizam um usuário a acessar seu serviço.

Quando um aplicativo do Google precisa chamar uma das APIs do seu serviço, o Google usa esses terminais juntos para obter permissão dos usuários para chamar essas APIs em seu nome.

Uma sessão de fluxo de código de autorização OAuth 2.0 iniciada pelo Google tem o seguinte fluxo:

  1. O Google abre seu endpoint de autorização no navegador do usuário. Se o fluxo começou em um dispositivo apenas de voz para uma ação, o Google transfere a execução para um telefone.
  2. O usuário faz login, se ainda não estiver conectado, e concede ao Google permissão para acessar seus dados com sua API, se ainda não tiver concedido permissão.
  3. Seu serviço cria um código de autorização e o devolve ao Google. Para fazer isso, redirecione o navegador do usuário de volta ao Google com o código de autorização anexado à solicitação.
  4. O Google envia o código de autorização para seu ponto de extremidade de troca de token, que verifica a autenticidade do código e retorna um token de acesso e um token de atualização . O token de acesso é um token de curta duração que seu serviço aceita como credenciais para acessar APIs. O token de atualização é um token de longa duração que o Google pode armazenar e usar para adquirir novos tokens de acesso quando expirarem.
  5. Depois que o usuário conclui o fluxo de vinculação da conta, cada solicitação subsequente enviada do Google contém um token de acesso.

Lidar com solicitações de autorização

Quando você precisa vincular contas usando o fluxo do código de autorização OAuth 2.0, o Google envia o usuário ao seu endpoint de autorização com uma solicitação que inclui os seguintes parâmetros:

Parâmetros de endpoint de autorização
client_id O ID de cliente do Google que você registrou no Google.
redirect_uri O URL para o qual você envia a resposta a esta solicitação.
state Um valor contábil que é passado de volta ao Google inalterado no URI de redirecionamento.
scope Opcional: um conjunto de strings de escopo delimitado por espaço que especifica os dados para os quais o Google está solicitando autorização.
response_type O tipo de valor a ser retornado na resposta. Para o fluxo de código de autorização OAuth 2.0, o tipo de resposta é sempre code .
user_locale A configuração de idioma da Conta do Google no formato RFC5646 , usado para localizar seu conteúdo no idioma de preferência do usuário.

Por exemplo, se o seu endpoint de autorização estiver disponível em https://myservice.example.com/auth , uma solicitação pode ter a seguinte aparência:

GET https://myservice.example.com/auth?client_id=GOOGLE_CLIENT_ID&redirect_uri=REDIRECT_URI&state=STATE_STRING&scope=REQUESTED_SCOPES&response_type=code&user_locale=LOCALE

Para que seu endpoint de autorização processe solicitações de login, execute as seguintes etapas:

  1. Verifique se client_id corresponde ao ID do cliente do Google que você registrou no Google e se redirect_uri corresponde ao URL de redirecionamento fornecido pelo Google para o seu serviço. Essas verificações são importantes para evitar a concessão de acesso a aplicativos cliente não intencionais ou configurados incorretamente. Se você oferece suporte a vários fluxos OAuth 2.0, confirme também se o response_type é um code .
  2. Verifique se o usuário está conectado ao seu serviço. Se o usuário não estiver conectado, conclua o fluxo de login ou inscrição do seu serviço.
  3. Gere um código de autorização para o Google usar para acessar sua API. O código de autorização pode ser qualquer valor de string, mas deve representar exclusivamente o usuário, o cliente ao qual o token se destina e o tempo de expiração do código e não deve ser adivinhado. Normalmente, você emite códigos de autorização que expiram após aproximadamente 10 minutos.
  4. Confirme se o URL especificado pelo parâmetro redirect_uri tem o seguinte formato:
      https://oauth-redirect.googleusercontent.com/r/YOUR_PROJECT_ID
      https://oauth-redirect-sandbox.googleusercontent.com/r/YOUR_PROJECT_ID
      
  5. Redirecione o navegador do usuário para o URL especificado pelo parâmetro redirect_uri . Inclua o código de autorização que você acabou de gerar e o valor de estado original e não modificado ao redirecionar, anexando o code e state parâmetros de state . A seguir está um exemplo do URL resultante:
    https://oauth-redirect.googleusercontent.com/r/YOUR_PROJECT_ID?code=AUTHORIZATION_CODE&state=STATE_STRING

Lidar com solicitações de troca de tokens

O ponto de extremidade de troca de tokens do seu serviço é responsável por dois tipos de trocas de tokens:

  • Trocar códigos de autorização para tokens de acesso e tokens de atualização
  • Tokens de atualização do Exchange para tokens de acesso

As solicitações de troca de token incluem os seguintes parâmetros:

Parâmetros de endpoint de troca de token
client_id Uma string que identifica a origem da solicitação como Google. Esta string deve ser registrada em seu sistema como identificador exclusivo do Google.
client_secret Uma string secreta que você registrou no Google para seu serviço.
grant_type O tipo de token que está sendo trocado. É authorization_code ou refresh_token .
code Quando grant_type=authorization_code , este parâmetro é o código que o Google recebeu de seu ponto de extremidade de login ou troca de token.
redirect_uri Quando grant_type=authorization_code , este parâmetro é o URL usado na solicitação de autorização inicial.
refresh_token Quando grant_type=refresh_token , este parâmetro é o token de atualização que o Google recebeu de seu ponto de extremidade de troca de tokens.
Trocar códigos de autorização para tokens de acesso e tokens de atualização

Depois que o usuário faz login e seu endpoint de autorização retorna um código de autorização de curta duração ao Google, o Google envia uma solicitação ao endpoint de troca de token para trocar o código de autorização por um token de acesso e um token de atualização.

Para essas solicitações, o valor de grant_type é authorization_code e o valor de code é o valor do código de autorização que você concedeu anteriormente ao Google. A seguir está um exemplo de uma solicitação para trocar um código de autorização por um token de acesso e um token de atualização:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET&grant_type=authorization_code&code=AUTHORIZATION_CODE&redirect_uri=REDIRECT_URI

Para trocar códigos de autorização para um token de acesso e um token de atualização, seu ponto de extremidade de troca de token responde às solicitações POST executando as seguintes etapas:

  1. Verifique se o client_id identifica a origem da solicitação como uma origem autorizada e se o client_secret corresponde ao valor esperado.
  2. Verifique se o código de autorização é válido e não expirou e se o ID do cliente especificado na solicitação corresponde ao ID do cliente associado ao código de autorização.
  3. Confirme se a URL especificada pelo parâmetro redirect_uri é idêntica ao valor usado na solicitação de autorização inicial.
  4. Se você não puder verificar todos os critérios acima, retorne um erro HTTP 400 Bad Request com {"error": "invalid_grant"} como o corpo.
  5. Caso contrário, use o ID do usuário do código de autorização para gerar um token de atualização e um token de acesso. Esses tokens podem ser qualquer valor de string, mas devem representar exclusivamente o usuário e o cliente ao qual o token se destina e não podem ser adivinhados. Para tokens de acesso, registre também o tempo de expiração do token, que normalmente é uma hora após a emissão do token. Os tokens de atualização não expiram.
  6. Retorne o seguinte objeto JSON no corpo da resposta HTTPS:
    {
    "token_type": "Bearer",
    "access_token": "ACCESS_TOKEN",
    "refresh_token": "REFRESH_TOKEN",
    "expires_in": SECONDS_TO_EXPIRATION
    }
    

O Google armazena o token de acesso e o token de atualização para o usuário e registra a expiração do token de acesso. Quando o token de acesso expira, o Google usa o token de atualização para obter um novo token de acesso de seu ponto de extremidade de troca de tokens.

Tokens de atualização do Exchange para tokens de acesso

Quando um token de acesso expira, o Google envia uma solicitação ao seu endpoint de troca de token para trocar um token de atualização por um novo token de acesso.

Para estes pedidos, o valor de grant_type é refresh_token , eo valor de refresh_token é o valor do token de atualização anteriormente concedida ao Google. A seguir está um exemplo de uma solicitação para trocar um token de atualização por um token de acesso:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET&grant_type=refresh_token&refresh_token=REFRESH_TOKEN

Para trocar um token de atualização por um token de acesso, seu ponto de extremidade de troca de token responde às solicitações POST executando as seguintes etapas:

  1. Verifique se client_id identifica a origem da solicitação como Google e se client_secret corresponde ao valor esperado.
  2. Verifique se o token de atualização é válido e se o ID do cliente especificado na solicitação corresponde ao ID do cliente associado ao token de atualização.
  3. Se você não puder verificar todos os critérios acima, retorne um erro HTTP 400 Bad Request com {"error": "invalid_grant"} como o corpo.
  4. Caso contrário, use o ID do usuário do token de atualização para gerar um token de acesso. Esses tokens podem ser qualquer valor de string, mas devem representar exclusivamente o usuário e o cliente ao qual o token se destina e não podem ser adivinhados. Para tokens de acesso, registre também o tempo de expiração do token, normalmente uma hora depois de emitir o token.
  5. Retorne o seguinte objeto JSON no corpo da resposta HTTPS:
    {
    "token_type": "Bearer",
    "access_token": " ACCESS_TOKEN ",
    "expires_in": SECONDS_TO_EXPIRATION
    }

Validando sua implementação

Você pode validar sua implementação usando a ferramenta OAuth 2.0 Playground .

Na ferramenta, execute as seguintes etapas:

  1. Clique em Configuração para abrir a janela de configuração do OAuth 2.0.
  2. No campo de fluxo OAuth , selecione Lado do cliente .
  3. No campo Pontos de extremidade OAuth , selecione Personalizado .
  4. Especifique seu ponto de extremidade OAuth 2.0 e o ID do cliente que você atribuiu ao Google nos campos correspondentes.
  5. Na seção Etapa 1 , não selecione nenhum escopo do Google. Em vez disso, deixe este campo em branco ou digite um escopo válido para seu servidor (ou uma string arbitrária se você não usar escopos OAuth). Quando terminar, clique em Autorizar APIs .
  6. Nas seções Etapa 2 e Etapa 3 , passe pelo fluxo do OAuth 2.0 e verifique se cada etapa funciona conforme o esperado.

Você pode validar sua implementação usando a ferramenta de demonstração de vinculação de contas do Google .

Na ferramenta, execute as seguintes etapas:

  1. Clique no botão Sign-in with Google .
  2. Escolha a conta que deseja vincular.
  3. Digite o ID do serviço.
  4. Opcionalmente, insira um ou mais escopos para os quais você solicitará acesso.
  5. Clique em Iniciar demonstração .
  6. Quando solicitado, confirme se você pode consentir e negar a solicitação de vinculação.
  7. Confirme que você foi redirecionado para sua plataforma.