Uproszczone łączenie za pomocą protokołu OAuth i Logowania przez Google

Przegląd

Uproszczone łączenie za pomocą Zaloguj się przez Google opartego na protokole OAuth dodaje Zaloguj się przez Google do łączenia za pomocą protokołu OAuth. Zapewnia to użytkownikom Google płynne łączenie kont, a także umożliwia tworzenie konta, dzięki czemu użytkownik może utworzyć nowe konto w Twojej usłudze za pomocą konta Google.

Aby połączyć konta za pomocą OAuth i zalogować się przez Google, wykonaj te ogólne czynności:

  1. Najpierw poproś użytkownika o zgodę na dostęp do jego profilu Google.
  2. Użyj informacji z profilu, aby sprawdzić, czy konto użytkownika istnieje.
  3. W przypadku dotychczasowych użytkowników połącz konta.
  4. Jeśli w systemie uwierzytelniania nie możesz znaleźć użytkownika Google, sprawdź token identyfikatora otrzymany od Google. Następnie możesz utworzyć użytkownika na podstawie informacji o profilu zawartych w tokenie identyfikatora.
Ilustracja przedstawiająca kroki, które użytkownik musi wykonać, aby połączyć konto Google za pomocą uproszczonego procesu łączenia. Pierwszy zrzut ekranu pokazuje, jak użytkownik może wybrać Twoją aplikację do połączenia. Drugi zrzut ekranu pozwala użytkownikowi potwierdzić, czy ma już konto w Twojej usłudze. Na trzecim zrzucie ekranu użytkownik może wybrać konto Google, które chce połączyć. Czwarty zrzut ekranu przedstawia potwierdzenie połączenia konta Google z aplikacją. Piąty zrzut ekranu pokazuje połączone konto użytkownika w aplikacji Google.
Łączenie konta na telefonie użytkownika za pomocą uproszczonego łączenia

Rysunek 1. Łączenie kont na telefonie użytkownika za pomocą uproszczonego łączenia

Uproszczone łączenie: proces OAuth + Zaloguj się przez Google

Poniższy diagram sekwencji przedstawia interakcje między użytkownikiem, Google i punktem końcowym wymiany tokenów w przypadku uproszczonego łączenia.

Użytkownik Aplikacja / serwer Google Twój token Punkt wymiany Twój interfejs API 1. Użytkownik inicjuje połączenie 2. Poproś o zalogowanie się przez Google 3. Zaloguj się przez Google 4. sprawdź intencję (asercja JWT) 5. account_found: true/false Jeśli konto zostało znalezione: 6. pobierz intencję Jeśli konto nie zostało znalezione: 6. utwórz intencję 7. token dostępu, token odświeżania 8. Przechowywanie tokenów użytkowników 9. Dostęp do materiałów dla użytkowników
Rysunek 2. Sekwencja zdarzeń w procesie uproszczonego łączenia
.

Role i obowiązki

W tabeli poniżej znajdziesz definicje ról i obowiązków podmiotów w procesie uproszczonego łączenia.

Użytkownik, który wykonał czynność lub komponent Rola GAL Podmiot odpowiedzialny
Aplikacja / serwer Google Klient OAuth Uzyskuje zgodę użytkownika na Zaloguj się przez Google, przekazuje do serwera potwierdzenia tożsamości (JWT) i bezpiecznie przechowuje uzyskane tokeny.
Punkt końcowy wymiany tokenów Dostawca tożsamości / serwer autoryzacji Weryfikuje potwierdzenia tożsamości, sprawdza, czy istnieją już konta, obsługuje intencje łączenia kont (check, get, create) i wydaje tokeny na podstawie żądanych intencji.
Interfejs API usługi Serwer zasobów Umożliwia dostęp do danych użytkownika po okazaniu prawidłowego tokena dostępu.

Wymagania dotyczące uproszczonego łączenia

Logika podejmowania decyzji dotycząca uproszczonego łączenia

Oto logika, która określa, jak wywoływane są intencje podczas uproszczonego procesu łączenia:

  1. Czy użytkownik ma konto w Twoim systemie uwierzytelniania? (Użytkownik decyduje, wybierając TAK lub NIE)
    1. TAK : czy użytkownik loguje się na Twoją platformę za pomocą adresu e-mail powiązanego z kontem Google? (Użytkownik decyduje, wybierając TAK lub NIE)
      1. YES : czy użytkownik ma pasujące konto w Twoim systemie uwierzytelniania? (check intent jest wywoływana w celu potwierdzenia)
        1. TAK : wywoływana jest funkcja get intent, a konto jest łączone, jeśli funkcja get intent zwróci wynik.
        2. NIE : Utworzyć nowe konto? (Użytkownik decyduje, wybierając TAK lub NIE)
          1. TAK : wywoływana jest funkcja create intent, a konto jest łączone, jeśli intencja utworzenia zostanie zwrócona.
          2. NIE : uruchamiany jest proces łączenia OAuth, użytkownik jest przekierowywany do przeglądarki i ma możliwość połączenia z innym adresem e-mail.
      2. NIE : uruchamiany jest proces łączenia OAuth, użytkownik jest przekierowywany do przeglądarki i ma możliwość połączenia się z innym adresem e-mail.
    2. NIE : czy użytkownik ma pasujące konto w Twoim systemie uwierzytelniania? (check intent jest wywoływana w celu potwierdzenia)
      1. TAK : wywoływana jest funkcja get intent, a konto jest łączone, jeśli funkcja get intent zwróci wynik.
      2. NIE : wywoływana jest funkcja create intent, a konto jest połączone, jeśli intencja utworzenia zostanie zwrócona.

Przepis na wdrożenie

Aby obsługiwać uproszczone łączenie, punkt końcowy wymiany tokenów musi implementować intencje check, getcreate.

Aby obsłużyć różne intencje, wykonaj te czynności:

Sprawdzanie, czy istnieje konto użytkownika (intencja check)

Google wywołuje Twój punkt końcowy wymiany tokenów, aby sprawdzić, czy użytkownik Google istnieje w Twoim systemie. Szczegółowe informacje o parametrach znajdziesz w artykule Uproszczone intencje łączenia.

Przepis na implementację

Aby obsłużyć intencję check, wykonaj te czynności:

  1. Sprawdź poprawność żądania:

    • Sprawdź client_id, client_secret i grant_type (musi to być urn:ietf:params:oauth:grant-type:jwt-bearer).
    • Sprawdź assertion (JWT) zgodnie z kryteriami opisanymi w sekcji Weryfikacja JWT.

  2. Wyszukaj użytkownika:

    • Sprawdź, czy identyfikator konta Google (sub) lub adres e-mail w tokenie JWT pasuje do użytkownika w Twojej bazie danych.

  3. Odpowiedz:

    • Jeśli użytkownik zostanie znaleziony, zwróć kod HTTP 200 OK z treścią {"account_found": "true"}.
    • Jeśli użytkownik nie zostanie znaleziony, zwróć kod HTTP 404 Not Found z treścią {"account_found": "false"}.

Obsługa automatycznego łączenia (pobieranie intencji)

Jeśli konto istnieje, Google wywołuje Twój punkt końcowy z parametrem intent=get, aby pobrać tokeny. Szczegółowe informacje o parametrach znajdziesz w sekcji Uproszczone intencje łączenia.

Przepis na implementację

Aby obsłużyć intencję get, wykonaj te czynności:

  1. Sprawdź żądanie:

    • Sprawdź client_id, client_secret i grant_type.
    • Sprawdź assertion (JWT).

  2. Wyszukaj użytkownika:

    • Sprawdź, czy użytkownik istnieje, używając deklaracji sub lub email.

  3. Odpowiedz:

    • Jeśli operacja się uda: wygeneruj i zwróć access_token, refresh_token i expires_in w odpowiedzi JSON (HTTP 200 OK).
    • Jeśli łączenie się nie powiedzie: zwróć HTTP 401 Unauthorized z {"error": "linking_error"} i opcjonalnym parametrem login_hint, aby wrócić do standardowego łączenia OAuth.

Obsługa tworzenia konta za pomocą funkcji Zaloguj się przez Google (intencja utworzenia)

Jeśli nie ma takiego konta, Google wywołuje Twój punkt końcowy z parametrem intent=create, aby utworzyć nowego użytkownika. Szczegółowe informacje o parametrach znajdziesz w artykule Uproszczone intencje łączenia.

Przepis na wdrożenie

Aby obsłużyć intencję create, wykonaj te czynności:

  1. Sprawdź prośbę:

    • Sprawdź te miejsca: client_id, client_secretgrant_type.
    • Sprawdź assertion (JWT).

  2. Sprawdź, czy użytkownik nie istnieje:

    • Sprawdź, czy sub lub email znajduje się już w Twojej bazie danych.
    • Jeśli użytkownik istnieje: zwróć HTTP 401 Unauthorized{"error": "linking_error", "login_hint": "USER_EMAIL"}, aby wymusić powrót do łączenia za pomocą protokołu OAuth.

  3. Utwórz konto:

    • Użyj deklaracji sub, email, namepicture z tokena JWT, aby utworzyć nowy rekord użytkownika.

  4. Odpowiedz:

    • Generowanie i zwracanie tokenów w odpowiedzi JSON (HTTP 200 OK).

Uzyskiwanie identyfikatora klienta Google API

Podczas procesu rejestracji łączenia konta musisz podać identyfikator klienta interfejsu Google API. Aby uzyskać identyfikator klienta interfejsu API, użyj projektu utworzonego podczas wykonywania czynności związanych z łączeniem OAuth. Aby to zrobić, wykonaj te czynności:

  1. Otwórz stronę Klienci.

  2. Utwórz lub wybierz projekt interfejsów API Google.

    Jeśli w Twoim projekcie nie ma identyfikatora klienta dla typu aplikacji internetowej, kliknij Utwórz klienta, aby go utworzyć. W polu Autoryzowane źródła JavaScriptu podaj domenę swojej witryny. Podczas przeprowadzania testów lokalnych lub tworzenia aplikacji musisz dodać zarówno http://localhost, jak i http://localhost:<port_number> do pola Autoryzowane źródła JavaScript.

Sprawdzanie poprawności implementacji

You can validate your implementation by using the OAuth 2.0 Playground tool.

In the tool, do the following steps:

  1. Click Configuration to open the OAuth 2.0 Configuration window.
  2. In the OAuth flow field, select Client-side.
  3. In the OAuth Endpoints field, select Custom.
  4. Specify your OAuth 2.0 endpoint and the client ID you assigned to Google in the corresponding fields.
  5. In the Step 1 section, don't select any Google scopes. Instead, leave this field blank or type a scope valid for your server (or an arbitrary string if you don't use OAuth scopes). When you're done, click Authorize APIs.
  6. In the Step 2 and Step 3 sections, go through the OAuth 2.0 flow and verify that each step works as intended.

You can validate your implementation by using the Google Account Linking Demo tool.

In the tool, do the following steps:

  1. Click the Sign in with Google button.
  2. Choose the account you'd like to link.
  3. Enter the service ID.
  4. Optionally enter one or more scopes that you will request access for.
  5. Click Start Demo.
  6. When prompted, confirm that you may consent and deny the linking request.
  7. Confirm that you are redirected to your platform.