קישור יעיל באמצעות OAuth וכניסה באמצעות חשבון Google

סקירה כללית

כניסה באמצעות חשבון Google מבוססת-OAuth עם קישור יעיל מוסיפה כניסה באמצעות חשבון Google על גבי קישור OAuth. הקישור מאפשר למשתמשי Google ליהנות מחוויה חלקה, ובאופן אופציונלי גם ליצור חשבון חדש בשירות שלכם באמצעות חשבון Google שלהם.

כדי לבצע קישור חשבונות באמצעות OAuth וכניסה באמצעות חשבון Google, פועלים לפי השלבים הכלליים הבאים:

  1. קודם כל, צריך לבקש מהמשתמש לתת הסכמה לגישה לפרופיל שלו ב-Google.
  2. משתמשים במידע בפרופיל כדי לבדוק אם חשבון המשתמש קיים.
  3. למשתמשים קיימים, מקשרים את החשבונות.
  4. אם לא הצלחתם למצוא התאמה למשתמש Google במערכת האימות שלכם, צריך לאמת את טוקן הזהות שהתקבל מ-Google. אם השירות שלכם תומך ביצירת חשבון, תוכלו ליצור משתמש על סמך פרטי הפרופיל שכלולים באסימון המזהה.
איור שמראה את השלבים שמשתמש צריך לבצע כדי לקשר את חשבון Google שלו באמצעות תהליך הקישור הפשוט. בצילום המסך הראשון אפשר לראות איך משתמש יכול לבחור את האפליקציה שלכם לקישור. בצילום המסך השני, המשתמש יכול לאשר אם יש לו חשבון קיים בשירות שלכם או לא. בצילום המסך השלישי, המשתמש יכול לבחור את חשבון Google שהוא רוצה לקשר. בצילום המסך הרביעי מוצג אישור לקישור חשבון Google לאפליקציה. בצילום המסך החמישי מוצג חשבון משתמש שמקושר בהצלחה באפליקציית Google.
קישור חשבון בטלפון של משתמש באמצעות קישור פשוט

איור 1. קישור חשבון בטלפון של משתמש באמצעות קישור פשוט

קישור יעיל: OAuth + תהליך כניסה באמצעות חשבון Google

דיאגרמת הרצף הבאה מציגה את האינטראקציות בין המשתמש, Google ונקודת הקצה של חילופי הטוקנים שלכם לקישור פשוט.

משתמש אפליקציית Google / שרת האסימון שלך נקודת קצה של חילופי נתונים ה-API שלך 1. המשתמש יוזם את הקישור 2. שליחת בקשה להפעלת התכונה 'כניסה באמצעות חשבון Google' 3. Sign in with Google 4. check intent (JWT Assertion) 5. account_found: true/false If account found: 6. get intent If no account: 6. create intent 7. access_token, refresh_token 8. טוקנים של משתמשים בחנות 9. גישה למשאבי משתמשים
איור 2. רצף האירועים בתהליך הקישור המשופר
.

תפקידים ותחומי אחריות

בטבלה הבאה מוגדרים התפקידים ותחומי האחריות של הגורמים בתהליך המקוצר של קישור החשבונות.

המשתמש / הרכיב תפקיד ב-GAL תחומי אחריות
אפליקציית Google / שרת לקוח OAuth מקבל את הסכמת המשתמש לכניסה באמצעות חשבון Google, מעביר הצהרות זהות (JWT) לשרת שלכם ושומר בצורה מאובטחת את הטוקנים שמתקבלים.
נקודת הקצה של חילופי הטוקנים ספק זהויות / שרת הרשאות מאמת את הצהרות הזהות, בודק אם יש חשבונות קיימים, מטפל בכוונה הנדרשת לקישור חשבונות (check, get) ובכוונה האופציונלית create, ומנפיק טוקנים על סמך הכוונות המבוקשות.
Your Service API שרת משאבים מאפשר גישה לנתוני משתמש כשמוצג אסימון גישה תקין.

הדרישות לקישור פשוט

  • מטמיעים את תהליך הקישור הבסיסי באמצעות OAuth. השירות שלכם צריך לתמוך בנקודות קצה של הרשאה והחלפת אסימונים שתואמות ל-OAuth 2.0.
  • נקודת הקצה של החלפת האסימונים חייבת לתמוך בהצהרות של JSON Web Token ‏ (JWT) וליישם את הכוונות הנדרשות check ו-get, ואופציונלית את הכוונה create.

לוגיקת ההחלטה לקישור פשוט

הלוגיקה הבאה קובעת איך מתבצעת קריאה לכוונות במהלך תהליך הקישור הפשוט:

  1. האם למשתמש יש חשבון במערכת האימות שלכם? (המשתמש מחליט אם לבחור באפשרות YES או NO)
    1. YES : האם המשתמש משתמש בכתובת האימייל שמשויכת לחשבון Google שלו כדי להיכנס לפלטפורמה שלך? (המשתמש מחליט אם לבחור באפשרות 'כן' או 'לא')
      1. כן : האם למשתמש יש חשבון תואם במערכת האימות שלכם? (מתבצעת שיחה עם check intent כדי לאשר)
        1. כן : מתבצעת קריאה לget intent והחשבון מקושר אם הפונקציה get intent מחזירה ערך בהצלחה.
        2. לא : ליצור חשבון חדש? (המשתמש מחליט אם ליצור חשבון על ידי בחירה באפשרות 'כן' או 'לא'; רלוונטי רק אם השירות תומך ביצירת חשבון)
          1. כן : מתבצעת קריאה אל create intent והחשבון מקושר אם הפעולה create intent מסתיימת בהצלחה.
          2. לא : מופעל תהליך הקישור באמצעות OAuth, המשתמש מועבר לדפדפן שלו ומוצגת לו האפשרות לקשר חשבון עם כתובת אימייל אחרת.
      2. לא : מופעל תהליך הקישור באמצעות OAuth, המשתמש מועבר לדפדפן ומוצגת לו האפשרות לקשר כתובת אימייל אחרת.
    2. לא : האם למשתמש יש חשבון תואם במערכת האימות שלך? (מתבצעת שיחה עם check intent כדי לאשר)
      1. כן : מתבצעת קריאה אל get intent והחשבון מקושר אם הפונקציה get intent מחזירה ערך בהצלחה.
      2. לא : אם השירות תומך ביצירת חשבון, מתבצעת קריאה אל create הכוונה והחשבון מקושר אם הכוונה ליצירת חשבון מוחזרת בהצלחה. אם יצירת חשבון לא נתמכת, נקודת הקצה צריכה להחזיר שגיאת קישור HTTP 401 כדי להפעיל את תהליך הקישור החלופי של OAuth.

מתכון להטמעה

נקודת הקצה של החלפת הטוקנים צריכה להטמיע את כוונות check ו-get הנדרשות, ואם רוצים לתמוך בקישור פשוט, גם את כוונת create.

כדי לטפל בכוונה שונה:

Check for an existing user account (check intent)

Google calls your token exchange endpoint to verify if the Google user exists in your system. For parameter details, see Streamlined Linking Intents.

Implementation Recipe

To handle the required check intent, perform the following actions:

  1. Validate the request:

    • Verify client_id, client_secret, and grant_type (must be urn:ietf:params:oauth:grant-type:jwt-bearer).
    • Validate the assertion (JWT) using the criteria in JWT Validation.
  2. Lookup user:

    • Check if the Google Account ID (sub) or email address in the JWT matches a user in your database.
  3. Respond:

    • If found: Return HTTP 200 OK with {"account_found": "true"}.
    • If not found: Return HTTP 404 Not Found with {"account_found": "false"}.

Handle automatic linking (get intent)

If the account exists, Google calls your endpoint with intent=get to retrieve tokens. For parameter details, see Streamlined Linking Intents.

Implementation Recipe

To handle the required get intent, perform the following actions:

  1. Validate the request:

    • Verify client_id, client_secret, and grant_type.
    • Validate the assertion (JWT).
  2. Lookup user:

    • Verify the user exists using the sub or email claim.
  3. Respond:

    • If successful: Generate and return access_token, refresh_token, and expires_in in a JSON response (HTTP 200 OK).
    • If linking fails: Return HTTP 401 Unauthorized with {"error": "linking_error"} and an optional login_hint to fall back to standard OAuth linking.

Handle account creation using Sign in with Google (create intent)

If your service supports account creation and no account exists, Google calls your endpoint with intent=create to create a new user. For parameter details, see Streamlined Linking Intents.

Implementation Recipe

To handle the optional create intent, perform the following actions:

  1. Validate the request:

    • Verify client_id, client_secret, and grant_type.
    • Validate the assertion (JWT).
  2. Verify user does not exist:

    • Check if the sub or email is already in your database.
    • If the user does exist: Return HTTP 401 Unauthorized with {"error": "linking_error", "login_hint": "USER_EMAIL"} to force fallback to OAuth linking.
  3. Create account:

    • Use the sub, email, name, and picture claims from the JWT to create a new user record.
  4. Respond:

    • Generate and return tokens in a JSON response (HTTP 200 OK).

איך מקבלים את מזהה הלקוח ב-Google API

תצטרכו לספק את מזהה הלקוח של Google API במהלך תהליך ההרשמה לקישור החשבון. כדי לקבל את מזהה הלקוח של ה-API, צריך להשתמש בפרויקט שיצרתם במהלך השלבים של קישור OAuth. כדי לעשות זאת, מבצעים את השלבים הבאים:

  1. עוברים אל דף הלקוחות.
  2. יוצרים פרויקט ב-Google APIs או בוחרים פרויקט קיים.

    אם בפרויקט שלכם אין מזהה לקוח מסוג אפליקציית אינטרנט, לוחצים על יצירת לקוח כדי ליצור אחד. חשוב להוסיף את הדומיין של האתר לתיבה מקורות מורשים של JavaScript. כשמבצעים בדיקות מקומיות או פיתוח, צריך להוסיף את http://localhost ואת http://localhost:<port_number> לשדה מקורות JavaScript מורשים.

אימות ההטמעה

You can validate your implementation by using the OAuth 2.0 Playground tool.

In the tool, do the following steps:

  1. Click Configuration to open the OAuth 2.0 Configuration window.
  2. In the OAuth flow field, select Client-side.
  3. In the OAuth Endpoints field, select Custom.
  4. Specify your OAuth 2.0 endpoint and the client ID you assigned to Google in the corresponding fields.
  5. In the Step 1 section, don't select any Google scopes. Instead, leave this field blank or type a scope valid for your server (or an arbitrary string if you don't use OAuth scopes). When you're done, click Authorize APIs.
  6. In the Step 2 and Step 3 sections, go through the OAuth 2.0 flow and verify that each step works as intended.

You can validate your implementation by using the Google Account Linking Demo tool.

In the tool, do the following steps:

  1. Click the Sign in with Google button.
  2. Choose the account you'd like to link.
  3. Enter the service ID.
  4. Optionally enter one or more scopes that you will request access for.
  5. Click Start Demo.
  6. When prompted, confirm that you may consent and deny the linking request.
  7. Confirm that you are redirected to your platform.