Penautan yang Disederhanakan dengan OAuth dan Login dengan Google

Ringkasan

Penautan yang Sederhana untuk Login dengan Google berbasis OAuth menambahkan Login dengan Google di atas penautan OAuth. Hal ini memberikan pengalaman penautan yang lancar bagi pengguna Google, dan juga memungkinkan pembuatan akun, yang memungkinkan pengguna membuat akun baru di layanan Anda menggunakan Akun Google mereka.

Untuk melakukan penautan akun dengan OAuth dan Login dengan Google, ikuti langkah-langkah umum berikut:

  1. Pertama, minta pengguna untuk memberikan izin akses ke profil Google mereka.
  2. Gunakan informasi di profil mereka untuk memeriksa apakah akun pengguna ada.
  3. Untuk pengguna yang sudah ada, tautkan akun.
  4. Jika Anda tidak dapat menemukan kecocokan untuk pengguna Google di sistem autentikasi Anda, validasi token ID yang diterima dari Google. Anda kemudian dapat membuat pengguna berdasarkan informasi profil yang terdapat dalam token ID.
Gambar ini menunjukkan langkah-langkah bagi pengguna untuk menautkan akun Google mereka menggunakan alur penautan yang disederhanakan. Screenshot pertama menunjukkan cara pengguna dapat memilih aplikasi Anda untuk ditautkan. Screenshot kedua memungkinkan pengguna mengonfirmasi apakah mereka memiliki akun yang sudah ada di layanan Anda atau tidak. Screenshot ketiga memungkinkan pengguna memilih Akun Google yang ingin ditautkan. Screenshot keempat menampilkan konfirmasi untuk menautkan akun Google mereka dengan aplikasi Anda. Screenshot kelima menampilkan akun pengguna yang berhasil ditautkan di aplikasi Google.
Penautan Akun di ponsel pengguna dengan Penautan yang Sederhana

Gambar 1. Penautan Akun di ponsel pengguna dengan Penautan yang Sederhana

Penautan yang Sederhana: Alur OAuth + Login dengan Google

Diagram urutan berikut menjelaskan interaksi antara Pengguna, Google, dan endpoint pertukaran token Anda untuk Penautan yang Sederhana.

Pengguna Aplikasi /Server Google Token Anda Endpoint Pertukaran API Anda 1. Pengguna memulai penautan 2. Meminta Login dengan Google 3. Login dengan Google 4. memeriksa intent (Pernyataan JWT) 5. account_found: true/false Jika akun ditemukan: 6. mendapatkan intent Jika tidak ada akun: 6. membuat intent 7. access_token, refresh_token 8. Menyimpan token pengguna 9. Mengakses resource pengguna
Gambar 2. Urutan peristiwa dalam alur Penautan yang Sederhana.

Peran dan tanggung jawab

Tabel berikut menentukan peran dan tanggung jawab aktor dalam alur Penautan yang Sederhana.

Aktor / Komponen Peran GAL Tanggung Jawab
Aplikasi / Server Google Klien OAuth Mendapatkan izin pengguna untuk Login dengan Google, meneruskan pernyataan identitas (JWT) ke server Anda, dan menyimpan token yang dihasilkan dengan aman.
Endpoint Pertukaran Token Anda Penyedia Identitas / Server Otorisasi Memvalidasi pernyataan identitas, memeriksa akun yang ada, menangani intent penautan akun (check, get, create), dan menerbitkan token berdasarkan intent yang diminta.
API Layanan Anda Server Resource Memberikan akses ke data pengguna saat token akses yang valid diberikan.

Persyaratan untuk Penautan yang Sederhana

  • Menerapkan alur penautan OAuth dasar. Layanan Anda harus mendukung endpoint otorisasi dan pertukaran token yang sesuai dengan OAuth 2.0.
  • Endpoint pertukaran token Anda harus mendukung pernyataan JSON Web Token (JWT) dan menerapkan intent check, create, dan get.

Logika Keputusan untuk Penautan yang Sederhana

Logika berikut menentukan cara intent dipanggil selama alur Penautan yang Sederhana:

  1. Apakah pengguna memiliki akun di sistem autentikasi Anda? (Pengguna memutuskan dengan memilih YA atau TIDAK)
    1. YA : Apakah pengguna menggunakan email yang terkait dengan Akun Google mereka untuk login ke platform Anda? (Pengguna memutuskan dengan memilih YA atau TIDAK)
      1. YA : Apakah pengguna memiliki akun yang cocok di sistem autentikasi Anda? (check intent dipanggil untuk mengonfirmasi)
        1. YA : get intent dipanggil dan akun ditautkan jika get intent berhasil ditampilkan.
        2. TIDAK : Buat Akun Baru? (Pengguna memutuskan dengan memilih YA atau TIDAK)
          1. YA : create intent dipanggil dan akun ditautkan jika create intent berhasil ditampilkan.
          2. TIDAK : Alur penautan OAuth dipicu, pengguna diarahkan ke browser mereka, dan pengguna diberi opsi untuk menautkan dengan email lain.
      2. TIDAK : Alur penautan OAuth dipicu, pengguna diarahkan ke browser mereka, dan pengguna diberi opsi untuk menautkan dengan email lain.
    2. TIDAK : Apakah pengguna memiliki akun yang cocok di sistem autentikasi Anda? (check intent dipanggil untuk mengonfirmasi)
      1. YA : get intent dipanggil dan akun ditautkan jika get intent berhasil ditampilkan.
      2. TIDAK : create intent dipanggil dan akun ditautkan jika create intent berhasil ditampilkan.

Resep Penerapan

Endpoint pertukaran token Anda harus menerapkan intent check, get, dan create untuk mendukung Penautan yang Sederhana.

Ikuti langkah-langkah berikut untuk menangani berbagai intent:

Check for an existing user account (check intent)

Google calls your token exchange endpoint to verify if the Google user exists in your system. For parameter details, see Streamlined Linking Intents.

Implementation Recipe

To handle the check intent, perform the following actions:

  1. Validate the request:

    • Verify client_id, client_secret, and grant_type (must be urn:ietf:params:oauth:grant-type:jwt-bearer).
    • Validate the assertion (JWT) using the criteria in JWT Validation.

  2. Lookup user:

    • Check if the Google Account ID (sub) or email address in the JWT matches a user in your database.

  3. Respond:

    • If found: Return HTTP 200 OK with {"account_found": "true"}.
    • If not found: Return HTTP 404 Not Found with {"account_found": "false"}.

Handle automatic linking (get intent)

If the account exists, Google calls your endpoint with intent=get to retrieve tokens. For parameter details, see Streamlined Linking Intents.

Implementation Recipe

To handle the get intent, perform the following actions:

  1. Validate the request:

    • Verify client_id, client_secret, and grant_type.
    • Validate the assertion (JWT).

  2. Lookup user:

    • Verify the user exists using the sub or email claim.

  3. Respond:

    • If successful: Generate and return access_token, refresh_token, and expires_in in a JSON response (HTTP 200 OK).
    • If linking fails: Return HTTP 401 Unauthorized with {"error": "linking_error"} and an optional login_hint to fall back to standard OAuth linking.

Handle account creation using Sign in with Google (create intent)

If no account exists, Google calls your endpoint with intent=create to create a new user. For parameter details, see Streamlined Linking Intents.

Implementation Recipe

To handle the create intent, perform the following actions:

  1. Validate the request:

    • Verify client_id, client_secret, and grant_type.
    • Validate the assertion (JWT).

  2. Verify user does not exist:

    • Check if the sub or email is already in your database.
    • If the user does exist: Return HTTP 401 Unauthorized with {"error": "linking_error", "login_hint": "USER_EMAIL"} to force fallback to OAuth linking.

  3. Create account:

    • Use the sub, email, name, and picture claims from the JWT to create a new user record.

  4. Respond:

    • Generate and return tokens in a JSON response (HTTP 200 OK).

Mendapatkan Client ID Google API Anda

Anda akan diminta untuk memberikan Client ID Google API Anda selama proses pendaftaran Penautan Akun . Untuk mendapatkan Client ID API Anda menggunakan project yang Anda buat saat menyelesaikan langkah-langkah penautan OAuth. Untuk melakukannya, selesaikan langkah-langkah berikut:

  1. Buka halaman Klien.

  2. Buat atau pilih project Google API.

    Jika project Anda tidak memiliki Client ID untuk Jenis aplikasi Web, klik Buat Klien untuk membuatnya. Pastikan untuk menyertakan domain situs Anda di kotak Asal JavaScript yang sah. Saat Anda melakukan pengujian atau pengembangan lokal, Anda harus menambahkan http://localhost dan http://localhost:<port_number> ke kolom Asal JavaScript yang sah.

Memvalidasi penerapan

You can validate your implementation by using the OAuth 2.0 Playground tool.

In the tool, do the following steps:

  1. Click Configuration to open the OAuth 2.0 Configuration window.
  2. In the OAuth flow field, select Client-side.
  3. In the OAuth Endpoints field, select Custom.
  4. Specify your OAuth 2.0 endpoint and the client ID you assigned to Google in the corresponding fields.
  5. In the Step 1 section, don't select any Google scopes. Instead, leave this field blank or type a scope valid for your server (or an arbitrary string if you don't use OAuth scopes). When you're done, click Authorize APIs.
  6. In the Step 2 and Step 3 sections, go through the OAuth 2.0 flow and verify that each step works as intended.

You can validate your implementation by using the Google Account Linking Demo tool.

In the tool, do the following steps:

  1. Click the Sign in with Google button.
  2. Choose the account you'd like to link.
  3. Enter the service ID.
  4. Optionally enter one or more scopes that you will request access for.
  5. Click Start Demo.
  6. When prompted, confirm that you may consent and deny the linking request.
  7. Confirm that you are redirected to your platform.