Penautan yang Sederhana dengan OAuth dan Login dengan Google

Ringkasan

Penautan Login lancar Google berbasis OAuth menambahkan Login dengan Google di atas penautan OAuth. Hal ini akan memberikan pengalaman penautan yang lancar bagi pengguna Google, dan juga memungkinkan pembuatan akun, yang memungkinkan pengguna membuat akun baru di layanan Anda menggunakan Akun Google miliknya.

Untuk melakukan penautan akun dengan OAuth dan Login dengan Google, ikuti langkah-langkah umum berikut:

  1. Pertama, minta pengguna untuk memberikan izin agar dapat mengakses profil Google mereka.
  2. Gunakan informasi di profil mereka untuk memeriksa apakah akun pengguna sudah ada.
  3. Untuk pengguna lama, tautkan akun mereka.
  4. Jika Anda tidak dapat menemukan kecocokan untuk pengguna Google di sistem autentikasi, validasikan token ID yang diterima dari Google. Selanjutnya, Anda dapat membuat pengguna berdasarkan informasi profil yang terdapat dalam token ID.
Gambar ini menunjukkan langkah-langkah bagi pengguna untuk menautkan Akun Google menggunakan alur penautan yang disederhanakan. Screenshot pertama menunjukkan cara pengguna dapat memilih aplikasi Anda untuk ditautkan. Screenshot kedua memungkinkan pengguna mengonfirmasi apakah mereka sudah memiliki akun di layanan Anda atau tidak. Screenshot ketiga memungkinkan pengguna memilih Akun Google yang ingin ditautkan. Screenshot keempat menampilkan konfirmasi untuk menautkan Akun Google dengan aplikasi Anda. Screenshot kelima menunjukkan akun pengguna yang berhasil ditautkan di aplikasi Google.

Gambar 1. Penautan Akun di ponsel pengguna dengan Penautan yang Disederhanakan

Persyaratan untuk Penautan yang Sederhana

Menerapkan server OAuth

Endpoint pertukaran token Anda harus mendukung intent check, create, get. Di bawah ini menunjukkan langkah-langkah yang diselesaikan melalui alur penautan akun dan menunjukkan kapan intent yang berbeda dipanggil:

  1. Apakah pengguna memiliki akun di sistem autentikasi Anda? (Pengguna memutuskan dengan memilih YA atau TIDAK)
    1. YA : Apakah pengguna menggunakan email yang dikaitkan dengan akun Google mereka untuk login ke platform Anda? (Pengguna memutuskan dengan memilih YA atau TIDAK)
      1. YA : Apakah pengguna memiliki akun yang cocok di sistem autentikasi Anda? (check intent dipanggil untuk mengonfirmasi)
        1. YA : get intent dipanggil dan akun ditautkan jika intent berhasil dikembalikan.
        2. TIDAK : Buat Akun Baru? (Pengguna memutuskan dengan memilih YA atau TIDAK)
          1. YA : create intent dipanggil dan akun ditautkan jika intent pembuatan berhasil ditampilkan.
          2. TIDAK : Alur OAuth Web dipicu, pengguna diarahkan ke browser mereka, dan pengguna diberi opsi untuk menautkan dengan email yang berbeda.
      2. TIDAK : Alur OAuth Web dipicu, pengguna diarahkan ke browser mereka, dan pengguna diberi opsi untuk menautkan dengan email yang berbeda.
    2. TIDAK : Apakah pengguna memiliki akun yang cocok di sistem autentikasi Anda? (check intent dipanggil untuk mengonfirmasi)
      1. YA : get intent dipanggil dan akun ditautkan jika intent berhasil dikembalikan.
      2. TIDAK: create intent dipanggil dan akun ditautkan jika intent pembuatan berhasil ditampilkan.

Periksa akun pengguna yang ada (periksa maksud)

Setelah pengguna memberikan persetujuan untuk mengakses profil Google mereka, Google mengirimkan permintaan yang berisi pernyataan yang ditandatangani tentang identitas pengguna Google. Pernyataan tersebut berisi informasi yang mencakup ID Akun Google, nama, dan alamat email pengguna. Titik akhir pertukaran token yang dikonfigurasi untuk proyek Anda menangani permintaan itu.

Jika akun Google yang sesuai sudah hadir di sistem otentikasi Anda, token Anda pertukaran endpoint merespon dengan account_found=true . Jika akun Google tidak cocok pengguna yang ada, pertukaran endpoint token Anda mengembalikan HTTP 404 Not Found error dengan account_found=false .

Permintaan memiliki bentuk berikut:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&intent=check&assertion=JWT&scope=SCOPES

Titik akhir pertukaran token Anda harus dapat menangani parameter berikut:

Parameter titik akhir token
intent Untuk permintaan ini, nilai parameter ini adalah check .
grant_type Jenis token yang dipertukarkan. Untuk permintaan ini, parameter ini memiliki nilai urn:ietf:params:oauth:grant-type:jwt-bearer .
assertion JSON Web Token (JWT) yang memberikan pernyataan yang ditandatangani tentang identitas pengguna Google. JWT berisi informasi yang mencakup ID Akun Google pengguna, nama, dan alamat email.

Untuk menanggapi check permintaan niat, endpoint pertukaran token Anda harus melakukan langkah-langkah berikut:

  • Validasi dan decode pernyataan JWT.
  • Periksa apakah akun Google sudah ada di sistem otentikasi Anda.
Validasi dan dekode pernyataan JWT

Anda dapat memvalidasi dan mendekode pernyataan JWT dengan menggunakan perpustakaan decoding JWT untuk bahasa Anda . Gunakan kunci publik Google, tersedia dalam format JWK atau PEM , untuk memverifikasi tanda tangan token.

Saat didekodekan, pernyataan JWT terlihat seperti contoh berikut:

{
  "sub": "1234567890",      // The unique ID of the user's Google Account
  "iss": "https://accounts.google.com",        // The assertion's issuer
  "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID
  "iat": 233366400,         // Unix timestamp of the assertion's creation time
  "exp": 233370000,         // Unix timestamp of the assertion's expiration time
  "name": "Jan Jansen",
  "given_name": "Jan",
  "family_name": "Jansen",
  "email": "jan@gmail.com", // If present, the user's email address
  "email_verified": true,   // true, if Google has verified the email address
  "hd": "example.com",      // If present, the host domain of the user's GSuite email address
                            // If present, a URL to user's profile picture
  "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ",
  "locale": "en_US"         // User's locale, from browser or phone settings
}

Selain memverifikasi tanda tangan token, verifikasi bahwa penerbit pernyataan (bidang iss ) adalah https://accounts.google.com , bahwa audiens (bidang aud ) adalah ID klien yang Anda tetapkan, dan bahwa token belum kedaluwarsa ( exp bidang).

Dengan menggunakan bidang email , email_verified , dan hd Anda dapat menentukan apakah Google menghosting dan berwenang untuk sebuah alamat email. Jika Google berwenang, pengguna saat ini diketahui sebagai pemilik akun yang sah dan Anda dapat melewati sandi atau metode tantangan lainnya. Jika tidak, metode ini dapat digunakan untuk memverifikasi akun sebelum menautkan.

Kasus di mana Google berwibawa:

  • email memiliki akhiran @gmail.com , ini adalah akun Gmail.
  • email_verified benar dan hd disetel, ini adalah akun G Suite.

Pengguna dapat mendaftar untuk Akun Google tanpa menggunakan Gmail atau G Suite. Jika email tidak berisi akhiran @gmail.com dan hd tidak ada, Google tidak berwibawa dan sandi atau metode tantangan lainnya disarankan untuk memverifikasi pengguna. email_verfied juga bisa benar karena Google awalnya memverifikasi pengguna saat akun Google dibuat, namun kepemilikan akun email pihak ketiga mungkin telah berubah.

Periksa apakah akun Google sudah ada di sistem otentikasi Anda

Periksa apakah salah satu dari kondisi berikut ini benar:

  • Akun Google ID, ditemukan di pernyataan ini sub bidang, adalah dalam database pengguna Anda.
  • Alamat email dalam pernyataan cocok dengan pengguna di database pengguna Anda.

Jika salah satu kondisi benar, pengguna telah mendaftar. Dalam hal ini, kembalikan respons seperti berikut:

HTTP/1.1 200 Success
Content-Type: application/json;charset=UTF-8

{
  "account_found":"true",
}

Jika ID Akun Google maupun alamat email yang ditentukan dalam pernyataan tidak cocok dengan pengguna di database Anda, pengguna tersebut belum mendaftar. Dalam hal ini, pertukaran endpoint token Anda perlu membalas dengan HTTP 404 error yang menentukan "account_found": "false" , seperti dalam contoh berikut:

HTTP/1.1 404 Not found
Content-Type: application/json;charset=UTF-8

{
  "account_found":"false",
}

Menangani penautan otomatis (dapatkan maksud)

Setelah pengguna memberikan persetujuan untuk mengakses profil Google mereka, Google mengirimkan permintaan yang berisi pernyataan yang ditandatangani tentang identitas pengguna Google. Pernyataan tersebut berisi informasi yang mencakup ID Akun Google, nama, dan alamat email pengguna. Titik akhir pertukaran token yang dikonfigurasi untuk proyek Anda menangani permintaan itu.

Jika Akun Google yang sesuai sudah ada di sistem autentikasi Anda, titik akhir pertukaran token Anda akan mengembalikan token untuk pengguna. Jika Akun Google tidak cocok pengguna yang ada, pertukaran endpoint token Anda mengembalikan linking_error kesalahan dan opsional login_hint .

Permintaan memiliki bentuk berikut:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&intent=get&assertion=JWT&scope=SCOPES

Titik akhir pertukaran token Anda harus dapat menangani parameter berikut:

Parameter titik akhir token
intent Untuk permintaan ini, nilai parameter ini adalah get .
grant_type Jenis token yang dipertukarkan. Untuk permintaan ini, parameter ini memiliki nilai urn:ietf:params:oauth:grant-type:jwt-bearer .
assertion JSON Web Token (JWT) yang memberikan pernyataan yang ditandatangani tentang identitas pengguna Google. JWT berisi informasi yang mencakup ID Akun Google pengguna, nama, dan alamat email.
scope Opsional: Setiap scopes bahwa Anda telah dikonfigurasi Google untuk permintaan dari pengguna.

Untuk merespon dengan get permintaan niat, endpoint pertukaran token Anda harus melakukan langkah-langkah berikut:

  • Validasi dan decode pernyataan JWT.
  • Periksa apakah akun Google sudah ada di sistem otentikasi Anda.
Validasi dan dekode pernyataan JWT

Anda dapat memvalidasi dan mendekode pernyataan JWT dengan menggunakan perpustakaan decoding JWT untuk bahasa Anda . Gunakan kunci publik Google, tersedia dalam format JWK atau PEM , untuk memverifikasi tanda tangan token.

Saat didekodekan, pernyataan JWT terlihat seperti contoh berikut:

{
  "sub": "1234567890",      // The unique ID of the user's Google Account
  "iss": "https://accounts.google.com",        // The assertion's issuer
  "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID
  "iat": 233366400,         // Unix timestamp of the assertion's creation time
  "exp": 233370000,         // Unix timestamp of the assertion's expiration time
  "name": "Jan Jansen",
  "given_name": "Jan",
  "family_name": "Jansen",
  "email": "jan@gmail.com", // If present, the user's email address
  "email_verified": true,   // true, if Google has verified the email address
  "hd": "example.com",      // If present, the host domain of the user's GSuite email address
                            // If present, a URL to user's profile picture
  "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ",
  "locale": "en_US"         // User's locale, from browser or phone settings
}

Selain memverifikasi tanda tangan token, verifikasi bahwa penerbit pernyataan (bidang iss ) adalah https://accounts.google.com , bahwa audiens (bidang aud ) adalah ID klien yang Anda tetapkan, dan bahwa token belum kedaluwarsa ( exp bidang).

Dengan menggunakan bidang email , email_verified , dan hd Anda dapat menentukan apakah Google menghosting dan berwenang untuk sebuah alamat email. Jika Google berwenang, pengguna saat ini diketahui sebagai pemilik akun yang sah dan Anda dapat melewati sandi atau metode tantangan lainnya. Jika tidak, metode ini dapat digunakan untuk memverifikasi akun sebelum menautkan.

Kasus di mana Google berwibawa:

  • email memiliki akhiran @gmail.com , ini adalah akun Gmail.
  • email_verified benar dan hd disetel, ini adalah akun G Suite.

Pengguna dapat mendaftar untuk Akun Google tanpa menggunakan Gmail atau G Suite. Jika email tidak berisi akhiran @gmail.com dan hd tidak ada, Google tidak berwibawa dan sandi atau metode tantangan lainnya disarankan untuk memverifikasi pengguna. email_verfied juga bisa benar karena Google awalnya memverifikasi pengguna saat akun Google dibuat, namun kepemilikan akun email pihak ketiga mungkin telah berubah.

Periksa apakah akun Google sudah ada di sistem otentikasi Anda

Periksa apakah salah satu dari kondisi berikut ini benar:

  • Akun Google ID, ditemukan di pernyataan ini sub bidang, adalah dalam database pengguna Anda.
  • Alamat email dalam pernyataan cocok dengan pengguna di database pengguna Anda.

Jika akun ditemukan bagi pengguna, mengeluarkan token akses dan mengembalikan nilai-nilai dalam sebuah objek JSON dalam tubuh respon HTTPS Anda, seperti dalam contoh berikut:

{
  "token_type": "Bearer",
  "access_token": "ACCESS_TOKEN",

  "expires_in": SECONDS_TO_EXPIRATION
}

Dalam beberapa kasus, penautan akun berdasarkan token ID mungkin gagal bagi pengguna. Jika ia melakukannya untuk alasan apapun, pertukaran endpoint token Anda perlu membalas dengan HTTP 401 error yang menentukan error=linking_error , sebagai contoh berikut menunjukkan:

HTTP/1.1 401 Unauthorized
Content-Type: application/json;charset=UTF-8

{
  "error":"linking_error",
  "login_hint":"foo@bar.com"
}

Ketika Google menerima respon error 401 dengan linking_error , Google mengirimkan pengguna untuk endpoint otorisasi Anda dengan login_hint sebagai parameter. Pengguna menyelesaikan penautan akun menggunakan alur penautan OAuth di browser mereka.

Menangani pembuatan akun melalui Google Sign-In (buat maksud)

Ketika pengguna perlu membuat account pada layanan Anda, Google membuat permintaan untuk endpoint pertukaran token Anda yang menentukan intent=create .

Permintaan memiliki bentuk berikut:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

response_type=token&grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&scope=SCOPES&intent=create&assertion=JWT

Titik akhir pertukaran token Anda harus dapat menangani parameter berikut:

Parameter titik akhir token
intent Untuk permintaan ini, nilai parameter ini create .
grant_type Jenis token yang dipertukarkan. Untuk permintaan ini, parameter ini memiliki nilai urn:ietf:params:oauth:grant-type:jwt-bearer .
assertion JSON Web Token (JWT) yang memberikan pernyataan yang ditandatangani tentang identitas pengguna Google. JWT berisi informasi yang mencakup ID Akun Google pengguna, nama, dan alamat email.

JWT dalam assertion parameter mengandung Google ID Akun, nama, dan alamat email pengguna, yang dapat Anda gunakan untuk membuat account baru pada layanan Anda.

Untuk merespon dengan create permintaan niat, endpoint pertukaran token Anda harus melakukan langkah-langkah berikut:

  • Validasi dan decode pernyataan JWT.
  • Validasi informasi pengguna dan buat akun baru.
Validasi dan dekode pernyataan JWT

Anda dapat memvalidasi dan mendekode pernyataan JWT dengan menggunakan perpustakaan decoding JWT untuk bahasa Anda . Gunakan kunci publik Google, tersedia dalam format JWK atau PEM , untuk memverifikasi tanda tangan token.

Saat didekodekan, pernyataan JWT terlihat seperti contoh berikut:

{
  "sub": "1234567890",      // The unique ID of the user's Google Account
  "iss": "https://accounts.google.com",        // The assertion's issuer
  "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID
  "iat": 233366400,         // Unix timestamp of the assertion's creation time
  "exp": 233370000,         // Unix timestamp of the assertion's expiration time
  "name": "Jan Jansen",
  "given_name": "Jan",
  "family_name": "Jansen",
  "email": "jan@gmail.com", // If present, the user's email address
  "email_verified": true,   // true, if Google has verified the email address
  "hd": "example.com",      // If present, the host domain of the user's GSuite email address
                            // If present, a URL to user's profile picture
  "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ",
  "locale": "en_US"         // User's locale, from browser or phone settings
}

Selain memverifikasi tanda tangan token, verifikasi bahwa penerbit pernyataan (bidang iss ) adalah https://accounts.google.com , bahwa audiens (bidang aud ) adalah ID klien yang Anda tetapkan, dan bahwa token belum kedaluwarsa ( exp bidang).

Dengan menggunakan bidang email , email_verified , dan hd Anda dapat menentukan apakah Google menghosting dan berwenang untuk sebuah alamat email. Jika Google berwenang, pengguna saat ini diketahui sebagai pemilik akun yang sah dan Anda dapat melewati sandi atau metode tantangan lainnya. Jika tidak, metode ini dapat digunakan untuk memverifikasi akun sebelum menautkan.

Kasus di mana Google berwibawa:

  • email memiliki akhiran @gmail.com , ini adalah akun Gmail.
  • email_verified benar dan hd disetel, ini adalah akun G Suite.

Pengguna dapat mendaftar untuk Akun Google tanpa menggunakan Gmail atau G Suite. Jika email tidak berisi akhiran @gmail.com dan hd tidak ada, Google tidak berwibawa dan sandi atau metode tantangan lainnya disarankan untuk memverifikasi pengguna. email_verfied juga bisa benar karena Google awalnya memverifikasi pengguna saat akun Google dibuat, namun kepemilikan akun email pihak ketiga mungkin telah berubah.

Validasi informasi pengguna dan buat akun baru

Periksa apakah salah satu dari kondisi berikut ini benar:

  • Akun Google ID, ditemukan di pernyataan ini sub bidang, adalah dalam database pengguna Anda.
  • Alamat email dalam pernyataan cocok dengan pengguna di database pengguna Anda.

Jika salah satu kondisi tersebut benar, minta pengguna untuk menautkan akun mereka yang ada dengan Akun Google mereka. Untuk melakukannya, merespon permintaan dengan HTTP 401 error yang menentukan error=linking_error dan memberikan alamat email pengguna sebagai login_hint . Berikut ini adalah contoh tanggapan:

HTTP/1.1 401 Unauthorized
Content-Type: application/json;charset=UTF-8

{
  "error":"linking_error",
  "login_hint":"foo@bar.com"
}

Ketika Google menerima respon error 401 dengan linking_error , Google mengirimkan pengguna untuk endpoint otorisasi Anda dengan login_hint sebagai parameter. Pengguna menyelesaikan penautan akun menggunakan alur penautan OAuth di browser mereka.

Jika tidak ada kondisi yang benar, buat akun pengguna baru dengan informasi yang disediakan di JWT. Akun baru biasanya tidak memiliki set kata sandi. Sebaiknya tambahkan Google Sign-In ke platform lain untuk memungkinkan pengguna masuk dengan Google di seluruh permukaan aplikasi Anda. Atau, Anda dapat mengirim email kepada pengguna tautan yang memulai alur pemulihan kata sandi Anda untuk memungkinkan pengguna menyetel kata sandi untuk masuk di platform lain.

Ketika penciptaan selesai, mengeluarkan token akses dan mengembalikan nilai-nilai dalam sebuah objek JSON dalam tubuh respon HTTPS Anda, seperti dalam contoh berikut:

{
  "token_type": "Bearer",
  "access_token": "ACCESS_TOKEN",

  "expires_in": SECONDS_TO_EXPIRATION
}

Mendapatkan Client ID Google API

Anda akan diminta untuk memberikan ID Klien Google API selama proses pendaftaran Penautan Akun.

Untuk mendapatkan Client ID API menggunakan project yang Anda buat saat menyelesaikan langkah-langkah Penautan OAuth. Caranya, selesaikan langkah-langkah berikut:

  1. Buka halaman Credentials di konsol API Google.
  2. Buat atau pilih project Google API.

    Jika project Anda tidak memiliki Client ID untuk Jenis aplikasi Web, klik Buat kredensial > Client ID OAuth untuk membuatnya. Pastikan untuk menyertakan domain situs Anda di kotak Asal JavaScript yang sah. Saat melakukan pengujian atau pengembangan lokal, Anda harus menambahkan http://localhost dan http://localhost:<port_number> ke kolom Asal JavaScript yang sah.

Memvalidasi implementasi

Anda dapat memvalidasi implementasi Anda dengan menggunakan OAuth 2.0 Playground alat.

Pada alat, lakukan langkah-langkah berikut:

  1. Klik Konfigurasi untuk membuka jendela Configuration OAuth 2.0.
  2. Di bidang aliran OAuth, pilih Client-side.
  3. Di bidang OAuth endpoint, pilih Custom.
  4. Tentukan titik akhir OAuth 2.0 dan ID klien yang Anda tetapkan ke Google di bidang yang sesuai.
  5. Pada bagian Langkah 1, tidak memilih lingkup Google. Sebagai gantinya, biarkan bidang ini kosong atau ketik cakupan yang valid untuk server Anda (atau string arbitrer jika Anda tidak menggunakan cakupan OAuth). Setelah selesai, klik Otorisasi API.
  6. Dalam Langkah 2 dan Langkah 3 bagian, melalui aliran OAuth 2.0 dan memverifikasi bahwa setiap langkah bekerja sebagaimana dimaksud.

Anda dapat memvalidasi implementasi Anda dengan menggunakan Akun Google Menghubungkan Demo alat.

Pada alat, lakukan langkah-langkah berikut:

  1. Klik Sign-in dengan tombol Google.
  2. Pilih akun yang ingin Anda tautkan.
  3. Masukkan ID layanan.
  4. Secara opsional, masukkan satu atau beberapa cakupan yang akan Anda minta aksesnya.
  5. Klik Mulai Demo.
  6. Saat diminta, konfirmasikan bahwa Anda dapat menyetujui dan menolak permintaan penautan.
  7. Konfirmasikan bahwa Anda dialihkan ke platform Anda.