OAuth と Google でログインによるリンクの簡素化

概要

OAuth ベースの Google ログインの簡素化されたリンクでは、Google ログインを OAuth リンクの上層に追加します。これにより、Google ユーザーはシームレスにリンクできるようになります。また、必要に応じてアカウント作成を有効にすることで、ユーザーは Google アカウントを使用してサービスで新しいアカウントを作成できます。

OAuth と Google ログインを使用してアカウント リンクを行うには、次の一般的な手順に従います。

  1. まず、ユーザーの Google プロフィールにアクセスすることについてユーザーに同意を求めます。
  2. プロフィールの情報を使用して、ユーザー アカウントが存在するかどうかを確認します。
  3. 既存のユーザーの場合は、アカウントをリンクします。
  4. 認証システムで Google ユーザーの一致が見つからない場合は、Google から受信した ID トークンを検証します。サービスがアカウント作成をサポートしている場合は、ID トークンに含まれているプロフィール情報に基づいてユーザー アカウントを作成できます。
この図は、ユーザーが簡素化されたリンクフローを使用して Google アカウントをリンクする手順を示しています。最初のスクリーンショットは、ユーザーがリンクするアプリをどのように選択できるかを示します。2 つ目のスクリーンショットでは、ユーザーがサービスに既存のアカウントがあるかどうかを確認できます。3 番目のスクリーンショットでは、リンクする Google アカウントを選択できます。4 番目のスクリーンショットは、ユーザーの Google アカウントをアプリにリンクするための確認画面を示します。5 番目のスクリーンショットは、Google アプリでユーザー アカウントが正常にリンクされたことを示しています。
ユーザーのスマートフォンでの簡素化されたリンクによるアカウント リンク

図 1 。ユーザーのスマートフォンでの簡素化されたリンクによるアカウント リンク

簡素化されたリンク: OAuth + Google ログインフロー

次のシーケンス図は、簡素化されたリンクにおけるユーザー、Google、トークン交換エンドポイント間のインタラクションの詳細を示しています。

ユーザー Google アプリ / サーバー トークン 交換エンドポイント API 1. ユーザーがリンクを開始 2. Google ログインをリクエスト 3. Google ログイン 4\. インテントを確認(JWT アサーション) 5\. account_found: true/false アカウントが見つかった場合: 6\. インテントを取得 アカウントがない場合: 6\. インテントを作成 7\. access_token, refresh_token 8\.ユーザー トークンを保存 9. ユーザー リソースにアクセス
図 2.簡素化されたリンクフローでのイベントのシーケンス。

役割と責任

次の表に、簡素化されたリンクフローにおけるアクターの役割と責任を示します。

アクター / コンポーネント GAL ロール 責任
Google アプリ / サーバー OAuth クライアント Google ログインのユーザーの同意を取得し、ID アサーション (JWT)をサーバーに渡し、結果のトークンを安全に保存します。
トークン交換エンドポイント アイデンティティ プロバイダ / 認可サーバー ID アサーションを検証し、既存のアカウントを確認し、必要なアカウント リンク インテント(checkget) とオプションの create インテントを処理し、リクエストされたインテントに基づいてトークンを発行します。
サービス API リソース サーバー 有効なアクセス トークンが提示されたときに、ユーザーデータへのアクセスを提供します。

簡素化されたリンクの要件

  • 基本的な OAuth リンクフローを実装します。サービスは、OAuth 2.0 準拠の認可エンドポイントとトークン交換エンドポイントをサポートしている必要があります。
  • トークン交換エンドポイントは、 JSON ウェブトークン(JWT) アサーションをサポートし、必要な check インテントと get インテント、 および必要に応じて create インテントを実装する必要があります。

簡素化されたリンクの判断ロジック

次のロジックは、簡素化されたリンクフローでインテントが呼び出される方法を決定します。

  1. ユーザーは認証システムにアカウントを持っていますか?(ユーザーが [はい] または [いいえ] を選択して決定)
    1. [はい]: ユーザーは Google アカウントに関連付けられたメールアドレスを使用してプラットフォームにログインしますか?(ユーザーが [はい] または [いいえ] を選択して決定)
      1. [はい]: ユーザーは認証システムに一致するアカウントを持っていますか?(check インテント が呼び出されて確認されます)
        1. [はい]: get インテントが呼び出され、 get インテントが正常に返された場合はアカウントがリンクされます。
        2. [いいえ]: 新しいアカウントを作成しますか?(ユーザーが [はい] または [いいえ] を選択して決定します。サービスがアカウント作成をサポートしている場合にのみ適用されます)
          1. [はい]: create インテントが呼び出され、create インテントが正常に返された場合はアカウントが リンクされます。
          2. [いいえ]: OAuth リンクフローがトリガーされ、ユーザーはブラウザにリダイレクトされ、別のメールアドレスでリンクするオプションが表示されます。
      2. [いいえ]: OAuth リンクフローがトリガーされ、ユーザー はブラウザにリダイレクトされ、別のメールアドレスで リンクするオプションが表示されます。
    2. [いいえ]: ユーザーは認証システムに一致するアカウントを持っていますか?(check インテント が呼び出されて確認されます)
      1. [はい]: get インテントが呼び出され、get インテントが正常に返された場合はアカウントがリンクされます。
      2. [いいえ]: サービスがアカウント作成をサポートしている場合は、 createインテントが呼び出され、create インテントが正常に返された場合はアカウントがリンクされます。アカウント作成がサポートされていない場合、エンドポイントは HTTP 401 linking_error を返して、フォールバック OAuth リンクフローをトリガーする必要があります。

実装レシピ

トークン交換エンドポイントは、簡素化されたリンクをサポートするために、必要な check インテントと get インテント、および必要に応じて create インテントを実装する必要があります。

さまざまなインテントを処理する手順は次のとおりです。

既存のユーザー アカウントを確認する(check インテント)

Google はトークン交換エンドポイントを呼び出して、Google ユーザーがシステムに存在するかどうかを確認します。パラメータの詳細については、簡素化されたリンク インテントをご覧ください。

実装レシピ

必要な check インテントを処理するには、次の操作を行います。

  1. リクエストを検証する:

  2. ユーザーを検索する:

    • JWT の Google アカウント ID(sub)またはメールアドレスがデータベース内のユーザーと一致するかどうかを確認します。
  3. 応答する:

    • 見つかった場合: 200 OK を含む HTTP {"account_found": "true"} を返します。
    • 見つからなかった場合: {"account_found": "false"} を含む HTTP 404 Not Found を返します。

自動リンクの処理(インテントの取得)

アカウントが存在する場合、Google は intent=get を使用してエンドポイントを呼び出し、トークンを取得します。パラメータの詳細については、簡素化されたリンク インテントをご覧ください。

実装レシピ

必要な get インテントを処理するには、次の操作を行います。

  1. リクエストを検証する:

    • client_idclient_secretgrant_type を確認します。
    • assertion(JWT)を検証します。
  2. ユーザーを検索する:

    • sub または email クレームを使用して、ユーザーが存在することを確認します。
  3. 応答する:

    • 成功した場合: JSON レスポンス(HTTP 200 OK)で access_tokenrefresh_tokenexpires_in を生成して返します。
    • リンクに失敗した場合: HTTP 401 Unauthorized{"error": "linking_error"} を返し、必要に応じて login_hint を指定して標準の OAuth リンクにフォールバックします。

Handle account creation using Sign in with Google (create intent)

If your service supports account creation and no account exists, Google calls your endpoint with intent=create to create a new user. For parameter details, see Streamlined Linking Intents.

Implementation Recipe

To handle the optional create intent, perform the following actions:

  1. Validate the request:

    • Verify client_id, client_secret, and grant_type.
    • Validate the assertion (JWT).
  2. Verify user does not exist:

    • Check if the sub or email is already in your database.
    • If the user does exist: Return HTTP 401 Unauthorized with {"error": "linking_error", "login_hint": "USER_EMAIL"} to force fallback to OAuth linking.
  3. Create account:

    • Use the sub, email, name, and picture claims from the JWT to create a new user record.
  4. Respond:

    • Generate and return tokens in a JSON response (HTTP 200 OK).

Google API クライアント ID を取得する

アカウント リンク 登録プロセスでは、Google API クライアント ID を指定する必要があります。OAuth リンクの手順を完了する際に作成したプロジェクトを使用して API クライアント ID を取得するには、次の手順を完了します。

  1. [クライアント] ページに移動します
  2. Google API プロジェクトを作成または選択します。

    プロジェクトにウェブ アプリケーション タイプのクライアント ID がない場合は、[クライアントを作成] をクリックして作成します。[承認済みの JavaScript 生成元] ボックスにサイトのドメインを含めるようにしてください。ローカル テストまたは 開発を行う場合は、http://localhosthttp://localhost:<port_number> の両方を [承認済みの JavaScript 生成元] フィールドに追加する必要があります。

実装を検証する

You can validate your implementation by using the OAuth 2.0 Playground tool.

In the tool, do the following steps:

  1. Click Configuration to open the OAuth 2.0 Configuration window.
  2. In the OAuth flow field, select Client-side.
  3. In the OAuth Endpoints field, select Custom.
  4. Specify your OAuth 2.0 endpoint and the client ID you assigned to Google in the corresponding fields.
  5. In the Step 1 section, don't select any Google scopes. Instead, leave this field blank or type a scope valid for your server (or an arbitrary string if you don't use OAuth scopes). When you're done, click Authorize APIs.
  6. In the Step 2 and Step 3 sections, go through the OAuth 2.0 flow and verify that each step works as intended.

You can validate your implementation by using the Google Account Linking Demo tool.

In the tool, do the following steps:

  1. Click the Sign in with Google button.
  2. Choose the account you'd like to link.
  3. Enter the service ID.
  4. Optionally enter one or more scopes that you will request access for.
  5. Click Start Demo.
  6. When prompted, confirm that you may consent and deny the linking request.
  7. Confirm that you are redirected to your platform.