پیوند ساده با OAuth و Google Sign-In

بررسی اجمالی

Google Sign-In مبتنی بر OAuth پیوند ساده ، Google Sign-In را در بالای پیوند OAuth اضافه می کند. این یک تجربه پیوند یکپارچه را برای کاربران Google فراهم می کند، و همچنین ایجاد حساب را فعال می کند، که به کاربر اجازه می دهد با استفاده از حساب Google خود یک حساب جدید در سرویس شما ایجاد کند.

برای انجام پیوند حساب با OAuth و Google Sign-In، این مراحل کلی را دنبال کنید:

  1. ابتدا از کاربر بخواهید که رضایت خود را برای دسترسی به نمایه Google خود اعلام کند.
  2. از اطلاعات موجود در نمایه آنها برای بررسی وجود حساب کاربری استفاده کنید.
  3. برای کاربران موجود، حساب ها را پیوند دهید.
  4. اگر نتوانستید مطابق با کاربر Google در سیستم احراز هویت خود پیدا کنید، رمز شناسه دریافتی از Google را تأیید کنید. سپس می توانید یک کاربر بر اساس اطلاعات نمایه موجود در رمز شناسه ایجاد کنید.
این شکل مراحلی را نشان می‌دهد که کاربر می‌تواند حساب Google خود را با استفاده از جریان پیوند ساده‌شده پیوند دهد. اولین اسکرین شات نشان می دهد که چگونه کاربر می تواند برنامه شما را برای پیوند انتخاب کند. اسکرین شات دوم به کاربر اجازه می دهد تا تأیید کند که آیا یک حساب کاربری موجود در سرویس شما دارد یا خیر. اسکرین شات سوم به کاربر این امکان را می دهد تا اکانت گوگلی را که می خواهد با آن پیوند دهد انتخاب کند. اسکرین شات چهارم تاییدیه مرتبط کردن حساب گوگل آنها را با برنامه شما نشان می دهد. اسکرین شات پنجم یک حساب کاربری با موفقیت در برنامه Google را نشان می دهد.

شکل 1 . پیوند دادن حساب در تلفن کاربر با پیوند ساده

الزامات برای پیوند ساده

  • جریان اصلی پیوند OAuth وب را پیاده سازی کنید. سرویس شما باید از مجوزهای منطبق با OAuth 2.0 و نقاط پایانی تبادل توکن پشتیبانی کند.
  • نقطه پایانی مبادله رمز شما باید از اظهارات JSON Web Token (JWT) پشتیبانی کند و check را اجرا کند، create ، و مقاصد get .

سرور OAuth خود را پیاده سازی کنید

نقطه پایانی مبادله رمز شما باید از check ، create ، get هدف پشتیبانی کند. در زیر مراحل تکمیل شده از طریق جریان پیوند حساب را نشان می دهد و نشان می دهد که چه زمانی مقاصد مختلف فراخوانی می شوند:

  1. آیا کاربر در سیستم احراز هویت شما حساب کاربری دارد؟ (کاربر با انتخاب YES یا NO تصمیم می گیرد)
    1. بله : آیا کاربر از ایمیل مرتبط با حساب Google خود برای ورود به پلت فرم شما استفاده می کند؟ (کاربر با انتخاب YES یا NO تصمیم می گیرد)
      1. بله: آیا کاربر یک حساب منطبق در سیستم احراز هویت شما دارد؟ (برنامه check intent برای تایید فراخوانی می شود)
        1. بله: get intent فراخوانی می‌شود و اگر get intent با موفقیت برمی‌گردد، حساب پیوند داده می‌شود.
        2. نه: ایجاد حساب جدید؟ (کاربر با انتخاب YES یا NO تصمیم می گیرد)
          1. YES: create intent فراخوانی می شود و در صورت بازگشت موفقیت آمیز ایجاد intent، حساب پیوند داده می شود.
          2. خیر: جریان Web OAuth فعال می‌شود، کاربر به مرورگر خود هدایت می‌شود و به کاربر این امکان داده می‌شود که با ایمیل دیگری پیوند دهد.
      2. خیر: جریان Web OAuth فعال می‌شود، کاربر به مرورگر خود هدایت می‌شود و به کاربر این امکان داده می‌شود که با ایمیل دیگری پیوند دهد.
    2. خیر: آیا کاربر یک حساب منطبق در سیستم احراز هویت شما دارد؟ (برنامه check intent برای تایید فراخوانی می شود)
      1. بله: get intent فراخوانی می‌شود و اگر get intent با موفقیت برمی‌گردد، حساب پیوند داده می‌شود.
      2. خیر: create intent فراخوانی می شود و در صورت بازگشت موفقیت آمیز ایجاد intent، حساب پیوند داده می شود.

حساب کاربری موجود را بررسی کنید (نیت را بررسی کنید)

پس از رضایت کاربر برای دسترسی به نمایه Google خود، Google درخواستی را ارسال می کند که حاوی تأییدیه امضا شده هویت کاربر Google است. این ادعا حاوی اطلاعاتی است که شامل شناسه حساب Google، نام و آدرس ایمیل کاربر است. نقطه پایانی تبادل توکن که برای پروژه شما پیکربندی شده است، آن درخواست را مدیریت می کند.

اگر حساب Google مربوطه از قبل در سیستم احراز هویت شما وجود داشته باشد، نقطه پایانی مبادله رمز شما با account_found=true پاسخ می‌دهد. اگر حساب Google با کاربر موجود مطابقت نداشته باشد، نقطه پایانی تبادل رمز شما یک خطای HTTP 404 Not Found با account_found=false را برمی‌گرداند.

درخواست دارای فرم زیر است:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&intent=check&assertion=JWT&scope=SCOPES&client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET

نقطه پایانی تبادل توکن شما باید بتواند پارامترهای زیر را مدیریت کند:

پارامترهای نقطه پایانی رمز
intent برای این درخواست ها، مقدار این پارامتر check می شود.
grant_type نوع توکن رد و بدل شده برای این درخواست‌ها، این پارامتر دارای مقدار urn:ietf:params:oauth:grant-type:jwt-bearer است.
assertion یک نشانه وب JSON (JWT) که تأیید امضا شده ای از هویت کاربر Google ارائه می دهد. JWT حاوی اطلاعاتی است که شامل شناسه حساب Google، نام و آدرس ایمیل کاربر است.
client_id شناسه مشتری که به Google اختصاص داده اید.
client_secret راز مشتری که به Google اختصاص داده اید.

برای پاسخ به درخواست‌های قصد check ، نقطه پایانی مبادله رمز شما باید مراحل زیر را انجام دهد:

  • تایید و رمزگشایی ادعای JWT.
  • بررسی کنید که آیا حساب Google از قبل در سیستم احراز هویت شما وجود دارد یا خیر.
Validate and decode the JWT assertion

You can validate and decode the JWT assertion by using a JWT-decoding library for your language. Use Google's public keys, available in JWK or PEM formats, to verify the token's signature.

When decoded, the JWT assertion looks like the following example: 

{
  "sub": "1234567890",      // The unique ID of the user's Google Account
  "iss": "https://accounts.google.com",        // The assertion's issuer
  "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID
  "iat": 233366400,         // Unix timestamp of the assertion's creation time
  "exp": 233370000,         // Unix timestamp of the assertion's expiration time
  "name": "Jan Jansen",
  "given_name": "Jan",
  "family_name": "Jansen",
  "email": "jan@gmail.com", // If present, the user's email address
  "email_verified": true,   // true, if Google has verified the email address
  "hd": "example.com",      // If present, the host domain of the user's GSuite email address
                            // If present, a URL to user's profile picture
  "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ",
  "locale": "en_US"         // User's locale, from browser or phone settings
}

In addition to verifying the token's signature, verify that the assertion's issuer (iss field) is https://accounts.google.com, that the audience (aud field) is your assigned client ID, and that the token has not expired (exp field).

Using the email, email_verified and hd fields you can determine if Google hosts and is authoritative for an email address. In cases where Google is authoritative the user is currently known to be the legitimate account owner and you may skip password or other challenges methods. Otherwise, these methods can be used to verify the account prior to linking.

Cases where Google is authoritative:

  • email has a @gmail.com suffix, this is a Gmail account.
  • email_verified is true and hd is set, this is a G Suite account.

Users may register for Google Accounts without using Gmail or G Suite. When email does not contain a @gmail.com suffix and hd is absent Google is not authoritative and password or other challenge methods are recommended to verify the user. email_verfied can also be true as Google initially verified the user when the Google account was created, however ownership of the third party email account may have since changed.

بررسی کنید که آیا حساب Google از قبل در سیستم احراز هویت شما وجود دارد یا خیر

بررسی کنید که آیا یکی از شرایط زیر درست است یا خیر:

  • شناسه حساب Google که در قسمت sub ادعا یافت می‌شود، در پایگاه داده کاربر شما قرار دارد.
  • آدرس ایمیل در ادعا با کاربر در پایگاه داده کاربر شما مطابقت دارد.

اگر هر یک از شرایط صحیح باشد، کاربر قبلاً ثبت نام کرده است. در این صورت، پاسخی مانند زیر را برگردانید:

HTTP/1.1 200 Success
Content-Type: application/json;charset=UTF-8

{
  "account_found":"true",
}

اگر نه شناسه حساب Google و نه آدرس ایمیل مشخص شده در ادعا با کاربر موجود در پایگاه داده شما مطابقت ندارد، کاربر هنوز ثبت نام نکرده است. در این مورد، نقطه پایانی تبادل توکن شما باید با یک خطای HTTP 404 پاسخ دهد که "account_found": "false" ، مانند مثال زیر:

HTTP/1.1 404 Not found
Content-Type: application/json;charset=UTF-8

{
  "account_found":"false",
}

Handle automatic linking (get intent)

After the user gives consent to access their Google profile, Google sends a request that contains a signed assertion of the Google user's identity. The assertion contains information that includes the user's Google Account ID, name, and email address. The token exchange endpoint configured for your project handles that request.

If the corresponding Google Account is already present in your authentication system, your token exchange endpoint returns a token for the user. If the Google Account doesn't match an existing user, your token exchange endpoint returns a linking_error error and optional login_hint.

The request has the following form:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&intent=get&assertion=JWT&scope=SCOPES&client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET

Your token exchange endpoint must be able to handle the following parameters:

Token endpoint parameters
intent For these requests, the value of this parameter is get.
grant_type The type of token being exchanged. For these requests, this parameter has the value urn:ietf:params:oauth:grant-type:jwt-bearer.
assertion A JSON Web Token (JWT) that provides a signed assertion of the Google user's identity. The JWT contains information that includes the user's Google Account ID, name, and email address.
scope Optional: Any scopes that you've configured Google to request from users.
client_id The client ID you assigned to Google.
client_secret The client secret you assigned to Google.

To respond to the get intent requests, your token exchange endpoint must perform the following steps:

  • Validate and decode the JWT assertion.
  • Check if the Google account is already present in your authentication system.
Validate and decode the JWT assertion

You can validate and decode the JWT assertion by using a JWT-decoding library for your language. Use Google's public keys, available in JWK or PEM formats, to verify the token's signature.

When decoded, the JWT assertion looks like the following example: 

{
  "sub": "1234567890",      // The unique ID of the user's Google Account
  "iss": "https://accounts.google.com",        // The assertion's issuer
  "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID
  "iat": 233366400,         // Unix timestamp of the assertion's creation time
  "exp": 233370000,         // Unix timestamp of the assertion's expiration time
  "name": "Jan Jansen",
  "given_name": "Jan",
  "family_name": "Jansen",
  "email": "jan@gmail.com", // If present, the user's email address
  "email_verified": true,   // true, if Google has verified the email address
  "hd": "example.com",      // If present, the host domain of the user's GSuite email address
                            // If present, a URL to user's profile picture
  "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ",
  "locale": "en_US"         // User's locale, from browser or phone settings
}

In addition to verifying the token's signature, verify that the assertion's issuer (iss field) is https://accounts.google.com, that the audience (aud field) is your assigned client ID, and that the token has not expired (exp field).

Using the email, email_verified and hd fields you can determine if Google hosts and is authoritative for an email address. In cases where Google is authoritative the user is currently known to be the legitimate account owner and you may skip password or other challenges methods. Otherwise, these methods can be used to verify the account prior to linking.

Cases where Google is authoritative:

  • email has a @gmail.com suffix, this is a Gmail account.
  • email_verified is true and hd is set, this is a G Suite account.

Users may register for Google Accounts without using Gmail or G Suite. When email does not contain a @gmail.com suffix and hd is absent Google is not authoritative and password or other challenge methods are recommended to verify the user. email_verfied can also be true as Google initially verified the user when the Google account was created, however ownership of the third party email account may have since changed.

Check if the Google account is already present in your authentication system

Check whether either of the following conditions are true:

  • The Google Account ID, found in the assertion's sub field, is in your user database.
  • The email address in the assertion matches a user in your user database.

If an account is found for the user, issue an access token and return the values in a JSON object in the body of your HTTPS response, like in the following example: 

{
  "token_type": "Bearer",
  "access_token": "ACCESS_TOKEN",

  "expires_in": SECONDS_TO_EXPIRATION
}

In some cases, account linking based on ID token might fail for the user. If it does so for any reason, your token exchange endpoint needs to reply with a HTTP 401 error that specifies error=linking_error, as the following example shows:

HTTP/1.1 401 Unauthorized
Content-Type: application/json;charset=UTF-8

{
  "error":"linking_error",
  "login_hint":"foo@bar.com"
}

When Google receives a 401 error response with linking_error, Google sends the user to your authorization endpoint with login_hint as a parameter. The user completes account linking using the OAuth linking flow in their browser.

Handle account creation via Google Sign-In (create intent)

When a user needs to create an account on your service, Google makes a request to your token exchange endpoint that specifies intent=create.

The request has the following form:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

response_type=token&grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&scope=SCOPES&intent=create&assertion=JWT&client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET

Your token exchange endpoint must able to handle the following parameters:

Token endpoint parameters
intent For these requests, the value of this parameter is create.
grant_type The type of token being exchanged. For these requests, this parameter has the value urn:ietf:params:oauth:grant-type:jwt-bearer.
assertion A JSON Web Token (JWT) that provides a signed assertion of the Google user's identity. The JWT contains information that includes the user's Google Account ID, name, and email address.
client_id The client ID you assigned to Google.
client_secret The client secret you assigned to Google.

The JWT within the assertion parameter contains the user's Google Account ID, name, and email address, which you can use to create a new account on your service.

To respond to the create intent requests, your token exchange endpoint must perform the following steps:

  • Validate and decode the JWT assertion.
  • Validate user information and create new account.
Validate and decode the JWT assertion

You can validate and decode the JWT assertion by using a JWT-decoding library for your language. Use Google's public keys, available in JWK or PEM formats, to verify the token's signature.

When decoded, the JWT assertion looks like the following example: 

{
  "sub": "1234567890",      // The unique ID of the user's Google Account
  "iss": "https://accounts.google.com",        // The assertion's issuer
  "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID
  "iat": 233366400,         // Unix timestamp of the assertion's creation time
  "exp": 233370000,         // Unix timestamp of the assertion's expiration time
  "name": "Jan Jansen",
  "given_name": "Jan",
  "family_name": "Jansen",
  "email": "jan@gmail.com", // If present, the user's email address
  "email_verified": true,   // true, if Google has verified the email address
  "hd": "example.com",      // If present, the host domain of the user's GSuite email address
                            // If present, a URL to user's profile picture
  "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ",
  "locale": "en_US"         // User's locale, from browser or phone settings
}

In addition to verifying the token's signature, verify that the assertion's issuer (iss field) is https://accounts.google.com, that the audience (aud field) is your assigned client ID, and that the token has not expired (exp field).

Using the email, email_verified and hd fields you can determine if Google hosts and is authoritative for an email address. In cases where Google is authoritative the user is currently known to be the legitimate account owner and you may skip password or other challenges methods. Otherwise, these methods can be used to verify the account prior to linking.

Cases where Google is authoritative:

  • email has a @gmail.com suffix, this is a Gmail account.
  • email_verified is true and hd is set, this is a G Suite account.

Users may register for Google Accounts without using Gmail or G Suite. When email does not contain a @gmail.com suffix and hd is absent Google is not authoritative and password or other challenge methods are recommended to verify the user. email_verfied can also be true as Google initially verified the user when the Google account was created, however ownership of the third party email account may have since changed.

Validate user information and create new account

Check whether either of the following conditions are true:

  • The Google Account ID, found in the assertion's sub field, is in your user database.
  • The email address in the assertion matches a user in your user database.

If either condition is true, prompt the user to link their existing account with their Google Account. To do so, respond to the request with an HTTP 401 error that specifies error=linking_error and gives the user's email address as the login_hint. The following is a sample response:

HTTP/1.1 401 Unauthorized
Content-Type: application/json;charset=UTF-8

{
  "error":"linking_error",
  "login_hint":"foo@bar.com"
}

When Google receives a 401 error response with linking_error, Google sends the user to your authorization endpoint with login_hint as a parameter. The user completes account linking using the OAuth linking flow in their browser.

If neither condition is true, create a new user account with the information provided in the JWT. New accounts don't typically have a password set. It's recommended that you add Google Sign-In to other platforms to enable users to log in with Google across the surfaces of your application. Alternatively, you can email the user a link that starts your password recovery flow to allow the user to set a password to sign in on other platforms.

When the creation is completed, issue an access token and return the values in a JSON object in the body of your HTTPS response, like in the following example: 

{
  "token_type": "Bearer",
  "access_token": "ACCESS_TOKEN",

  "expires_in": SECONDS_TO_EXPIRATION
}

Google API Client ID خود را دریافت کنید

در طول فرآیند ثبت نام پیوند حساب، باید شناسه مشتری Google API خود را ارائه دهید.

برای دریافت شناسه مشتری API خود با استفاده از پروژه ای که هنگام تکمیل مراحل OAuth Linking ایجاد کرده اید. برای این کار مراحل زیر را انجام دهید:

  1. صفحه اعتبارنامه کنسول Google API را باز کنید.

  2. یک پروژه Google APIs ایجاد یا انتخاب کنید.

    اگر پروژه شما شناسه مشتری برای نوع برنامه وب ندارد، روی Create credentials > OAuth Client ID کلیک کنید تا یکی ایجاد شود. مطمئن شوید که دامنه سایت خود را در کادر مبداهای مجاز جاوا اسکریپت قرار دهید. هنگامی که آزمایش‌های محلی یا توسعه را انجام می‌دهید، باید هر دو http://localhost و http://localhost:<port_number> را به قسمت Authorized JavaScript origins اضافه کنید.

اعتبار بخشیدن به اجرای شما

شما می توانید اجرای خود را با استفاده از اعتبار OAuth تأیید 2.0 زمین بازی ابزار است.

در ابزار ، مراحل زیر را انجام دهید:

  1. کلیک کنید تنظیمات برای باز کردن OAuth تأیید 2.0 پنجره پیکربندی.
  2. در این زمینه جریان OAuth حفظ، سمت سرویس گیرنده را انتخاب کنید.
  3. در این زمینه از OAuth نقطه انتهایی، سفارشی را انتخاب کنید.
  4. نقطه پایانی OAuth 2.0 و شناسه مشتری که به Google اختصاص داده اید را در قسمت های مربوطه مشخص کنید.
  5. در بخش مرحله 1، انجام هر گونه حوزه گوگل را انتخاب کنید. در عوض ، این قسمت را خالی بگذارید یا یک محدوده معتبر برای سرور خود تایپ کنید (یا اگر از محدوده های OAuth استفاده نمی کنید یک رشته دلخواه). هنگامی که شما انجام می شود، Authorize کلیک کنید رابط های برنامه کاربردی.
  6. در مرحله 2 مرحله 3 و بخش، از طریق جریان OAuth تأیید 2.0 بروید و بررسی کنید که هر مرحله کار می کند به عنوان در نظر گرفته شده.

شما می توانید اجرای خود را با استفاده از اعتبار حساب Google لینک کردن نسخه ی نمایشی ابزار است.

در ابزار ، مراحل زیر را انجام دهید:

  1. با کلیک بر روی ثبت نام در با دکمه گوگل.
  2. حسابی را که می خواهید پیوند دهید انتخاب کنید.
  3. شناسه سرویس را وارد کنید
  4. به صورت اختیاری یک یا چند محدوده که درخواست دسترسی به آنها را دارید وارد کنید.
  5. کلیک کنید شروع نسخه ی نمایشی.
  6. هنگامی که از شما خواسته شد ، تأیید کنید که می توانید درخواست پیوند را تأیید کرده و رد کنید.
  7. تأیید کنید که به پلتفرم خود هدایت شده اید.