Penautan yang Disederhanakan dengan OAuth dan Login dengan Google

Gambaran

Berbasis OAuth Google Sign-In Efisien linking menambahkan Google Sign-In di atas OAuth menghubungkan . Ini memberikan pengalaman penautan yang lancar bagi pengguna Google, dan juga memungkinkan penautan akun untuk pengguna yang mendaftar ke layanan Anda dengan identitas non-Google.

Untuk melakukan penautan akun dengan OAuth dan Google Sign-In, ikuti langkah-langkah umum berikut:

  1. Pertama, minta pengguna untuk memberikan persetujuan untuk mengakses profil Google mereka.
  2. Gunakan informasi di profil mereka untuk memeriksa apakah akun pengguna ada.
  3. Untuk pengguna yang sudah ada, tautkan akun.
  4. Jika Anda tidak dapat menemukan kecocokan untuk pengguna Google di sistem autentikasi Anda, validasi token ID yang diterima dari Google. Anda kemudian dapat membuat pengguna berdasarkan informasi profil yang terdapat dalam token ID.

Gambar 3. Penautan Akun di ponsel pengguna dengan Penautan Efisien

Akun ditautkan menggunakan industri OAuth standar mengalir 2,0 implisit dan otorisasi kode. Layanan Anda harus mendukung otorisasi OAuth 2.0-compliant dan titik akhir pertukaran tanda. Selain itu, pertukaran endpoint token Anda harus mendukung JSON Web Token (JWT) pernyataan dan melaksanakan check , create , dan get maksud.

Dapatkan ID Klien dan Rahasia Google API Anda

Anda akan perlu untuk mendapatkan API Anda Klien ID dan Rahasia menggunakan proyek yang Anda buat saat menyelesaikan OAuth Menghubungkan langkah. Untuk melakukannya, selesaikan langkah-langkah berikut:

  1. Buka halaman Kredensial dari API konsol Google .
  2. Buat atau pilih proyek Google API.

    Jika proyek Anda tidak memiliki ID Klien untuk Jenis aplikasi Web, klik Buat kredensial> OAuth Client ID untuk membuat satu. Pastikan untuk menyertakan domain situs anda dalam asal JavaScript Resmi kotak. Ketika Anda melakukan tes lokal atau pengembangan, Anda harus menambahkan kedua http://localhost dan http://localhost:<port_number> untuk JavaScript asal lapangan Resmi.

Terapkan server OAuth Anda

Periksa akun pengguna yang ada

Setelah pengguna memberikan izin untuk mengakses profil Google mereka, Google mengirimkan permintaan yang berisi pernyataan identitas pengguna Google yang telah ditandatangani. Penegasan tersebut berisi informasi yang menyertakan ID Akun Google, nama, dan alamat email pengguna. Titik akhir pertukaran token yang dikonfigurasi untuk proyek Anda menangani permintaan itu.

Jika akun Google terkait sudah ada di sistem otentikasi Anda, titik akhir pertukaran token Anda merespons dengan account_found=true . Jika akun Google tidak cocok dengan pengguna yang sudah ada, titik akhir pertukaran token Anda mengembalikan kesalahan HTTP 404 Tidak Ditemukan dengan account_found=false .

Bentuk permintaannya adalah sebagai berikut:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&intent=check&assertion=JWT&scope=SCOPES

Titik akhir pertukaran token Anda harus dapat menangani parameter berikut:

Parameter titik akhir token
intent Untuk permintaan ini, nilai parameter ini adalah check .
grant_type Jenis token yang ditukar. Untuk permintaan ini, parameter ini memiliki nilai urn:ietf:params:oauth:grant-type:jwt-bearer .
assertion Token Web JSON (JWT) yang memberikan pernyataan bertanda tangan tentang identitas pengguna Google. JWT berisi informasi yang mencakup ID Akun Google, nama, dan alamat email pengguna.

Ketika titik akhir pertukaran token Anda menerima permintaan check , itu perlu memvalidasi dan mendekode pernyataan JWT.

Validasi dan dekode pernyataan JWT

Anda dapat memvalidasi dan mendekode pernyataan JWT dengan menggunakan perpustakaan decoding JWT untuk bahasa Anda . Gunakan kunci publik Google, tersedia dalam format JWK atau PEM , untuk memverifikasi tanda tangan token.

Saat didekodekan, pernyataan JWT terlihat seperti contoh berikut:

{
  "sub": "1234567890",      // The unique ID of the user's Google Account
  "iss": "https://accounts.google.com",        // The assertion's issuer
  "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID
  "iat": 233366400,         // Unix timestamp of the assertion's creation time
  "exp": 233370000,         // Unix timestamp of the assertion's expiration time
  "name": "Jan Jansen",
  "given_name": "Jan",
  "family_name": "Jansen",
  "email": "jan@gmail.com", // If present, the user's email address
  "email_verified": true,   // true, if Google has verified the email address
  "hd": "example.com",      // If present, the host domain of the user's GSuite email address
                            // If present, a URL to user's profile picture
  "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ",
  "locale": "en_US"         // User's locale, from browser or phone settings
}

Selain memverifikasi tanda tangan token, verifikasi bahwa penerbit pernyataan (bidang iss ) adalah https://accounts.google.com , bahwa audiens (bidang aud ) adalah ID klien yang Anda tetapkan, dan bahwa token belum kedaluwarsa ( exp bidang).

Dengan menggunakan bidang email , email_verified , dan hd Anda dapat menentukan apakah Google menghosting dan berwenang untuk sebuah alamat email. Jika Google berwenang, pengguna saat ini diketahui sebagai pemilik akun yang sah dan Anda dapat melewati sandi atau metode tantangan lainnya. Jika tidak, metode ini dapat digunakan untuk memverifikasi akun sebelum menautkan.

Kasus di mana Google berwibawa:

  • email memiliki akhiran @gmail.com , ini adalah akun Gmail.
  • email_verified benar dan hd disetel, ini adalah akun G Suite.

Pengguna dapat mendaftar untuk Akun Google tanpa menggunakan Gmail atau G Suite. Jika email tidak berisi akhiran @gmail.com dan hd tidak ada, Google tidak berwibawa dan sandi atau metode tantangan lainnya disarankan untuk memverifikasi pengguna. email_verfied juga bisa benar karena Google awalnya memverifikasi pengguna saat akun Google dibuat, namun kepemilikan akun email pihak ketiga mungkin telah berubah.

Periksa apakah akun Google sudah ada di sistem otentikasi Anda

Periksa apakah salah satu dari kondisi berikut ini benar:

  • ID Akun Google, ditemukan di sub bidang pernyataan, ada di basis data pengguna Anda.
  • Alamat email di pernyataan cocok dengan pengguna di database pengguna Anda.

Jika salah satu kondisinya benar, pengguna telah mendaftar. Jika demikian, kembalikan respons seperti berikut:

HTTP/1.1 200 Success
Content-Type: application/json;charset=UTF-8

{
  "account_found":"true",
}

Google kemudian menampilkan dialog persetujuan penautan kepada pengguna dan meminta persetujuan untuk cakupan yang diinginkan untuk melanjutkan penautan. Setelah Google mendapatkan persetujuan pengguna, Google mengirimkan permintaan get ke titik akhir token Anda untuk melanjutkan penautan.

Jika baik ID Akun Google maupun alamat email yang ditentukan dalam pernyataan cocok dengan pengguna di database Anda, pengguna tersebut belum mendaftar. Dalam kasus ini, titik akhir pertukaran token Anda perlu membalas dengan kesalahan HTTP 404 yang menentukan "account_found": "false" , seperti pada contoh berikut:

HTTP/1.1 404 Not found
Content-Type: application/json;charset=UTF-8

{
  "account_found":"false",
}
Saat Google menerima respons error 404 dengan error "account_found": "false" , Google menampilkan dialog kepada pengguna untuk meminta izin membuat akun baru dan akses ke cakupan yang diinginkan. Setelah Google mendapatkan persetujuan pengguna, Google memanggil endpoint pertukaran token Anda dengan nilai parameter intent disetel untuk create dan menyertakan token ID yang berisi informasi profil pengguna dengan permintaan tersebut.

Handle automatic linking

After the user gives consent to access their Google profile, Google sends a request that contains a signed assertion of the Google user's identity. The assertion contains information that includes the user's Google Account ID, name, and email address. The token exchange endpoint configured for your project handles that request.

If the corresponding Google Account is already present in your authentication system, your token exchange endpoint returns a token for the user. If the Google Account doesn't match an existing user, your token exchange endpoint returns a linking_error error and optional login_hint.

The request has the following form:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&intent=get&assertion=JWT&scope=SCOPES

Your token exchange endpoint must be able to handle the following parameters:

Token endpoint parameters
intent For these requests, the value of this parameter is get.
grant_type The type of token being exchanged. For these requests, this parameter has the value urn:ietf:params:oauth:grant-type:jwt-bearer.
assertion A JSON Web Token (JWT) that provides a signed assertion of the Google user's identity. The JWT contains information that includes the user's Google Account ID, name, and email address.
scope Optional: Any scopes that you've configured Google to request from users.

When your token exchange endpoint receives the linking request, it needs to validate and decode the JWT assertion.

Validasi dan dekode pernyataan JWT

Anda dapat memvalidasi dan mendekode pernyataan JWT dengan menggunakan perpustakaan decoding JWT untuk bahasa Anda . Gunakan kunci publik Google, tersedia dalam format JWK atau PEM , untuk memverifikasi tanda tangan token.

Saat didekodekan, pernyataan JWT terlihat seperti contoh berikut:

{
  "sub": "1234567890",      // The unique ID of the user's Google Account
  "iss": "https://accounts.google.com",        // The assertion's issuer
  "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID
  "iat": 233366400,         // Unix timestamp of the assertion's creation time
  "exp": 233370000,         // Unix timestamp of the assertion's expiration time
  "name": "Jan Jansen",
  "given_name": "Jan",
  "family_name": "Jansen",
  "email": "jan@gmail.com", // If present, the user's email address
  "email_verified": true,   // true, if Google has verified the email address
  "hd": "example.com",      // If present, the host domain of the user's GSuite email address
                            // If present, a URL to user's profile picture
  "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ",
  "locale": "en_US"         // User's locale, from browser or phone settings
}

Selain memverifikasi tanda tangan token, verifikasi bahwa penerbit pernyataan (bidang iss ) adalah https://accounts.google.com , bahwa audiens (bidang aud ) adalah ID klien yang Anda tetapkan, dan bahwa token belum kedaluwarsa ( exp bidang).

Dengan menggunakan bidang email , email_verified , dan hd Anda dapat menentukan apakah Google menghosting dan berwenang untuk sebuah alamat email. Jika Google berwenang, pengguna saat ini diketahui sebagai pemilik akun yang sah dan Anda dapat melewati sandi atau metode tantangan lainnya. Jika tidak, metode ini dapat digunakan untuk memverifikasi akun sebelum menautkan.

Kasus di mana Google berwibawa:

  • email memiliki akhiran @gmail.com , ini adalah akun Gmail.
  • email_verified benar dan hd disetel, ini adalah akun G Suite.

Pengguna dapat mendaftar untuk Akun Google tanpa menggunakan Gmail atau G Suite. Jika email tidak berisi akhiran @gmail.com dan hd tidak ada, Google tidak berwibawa dan sandi atau metode tantangan lainnya disarankan untuk memverifikasi pengguna. email_verfied juga bisa benar karena Google awalnya memverifikasi pengguna saat akun Google dibuat, namun kepemilikan akun email pihak ketiga mungkin telah berubah.

Check if the Google account is already present in your authentication system

Check whether either of the following conditions are true:

  • The Google Account ID, found in the assertion's sub field, is in your user database.
  • The email address in the assertion matches a user in your user database.

In some cases, account linking based on ID token might fail for the user. If it does so for any reason, your token exchange endpoint needs to reply with a HTTP 401 error that specifies error=linking_error, as the following example shows:

HTTP/1.1 401 Unauthorized
Content-Type: application/json;charset=UTF-8

{
  "error":"linking_error",
  "login_hint":"foo@bar.com"
}
When Google receives a 401 error response with linking_error, Google calls your token exchange endpoint with the following in the request:

  • The intent parameter set to create
  • A JWT with the ID token and user's profile information

Menangani pembuatan akun melalui Google Sign-In

Ketika pengguna perlu membuat account pada layanan Anda, Google membuat permintaan untuk endpoint pertukaran token Anda yang menentukan intent=create .

Permintaan memiliki bentuk berikut:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

response_type=token&grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&scope=SCOPES&intent=create&assertion=JWT

Titik akhir pertukaran token Anda harus dapat menangani parameter berikut:

Parameter titik akhir token
intent Untuk permintaan ini, nilai parameter ini create .
grant_type Jenis token yang dipertukarkan. Untuk permintaan ini, parameter ini memiliki nilai urn:ietf:params:oauth:grant-type:jwt-bearer .
assertion JSON Web Token (JWT) yang memberikan pernyataan yang ditandatangani tentang identitas pengguna Google. JWT berisi informasi yang mencakup ID Akun Google, nama, dan alamat email pengguna.

JWT dalam assertion parameter mengandung Google ID Akun, nama, dan alamat email pengguna, yang dapat Anda gunakan untuk membuat account baru pada layanan Anda.

Untuk menanggapi permintaan pembuatan akun, titik akhir pertukaran token Anda harus melakukan langkah-langkah di dua bagian berikut.

Validasi dan dekode pernyataan JWT

Anda dapat memvalidasi dan mendekode pernyataan JWT dengan menggunakan perpustakaan decoding JWT untuk bahasa Anda . Gunakan kunci publik Google, tersedia dalam format JWK atau PEM , untuk memverifikasi tanda tangan token.

Saat didekodekan, pernyataan JWT terlihat seperti contoh berikut:

{
  "sub": "1234567890",      // The unique ID of the user's Google Account
  "iss": "https://accounts.google.com",        // The assertion's issuer
  "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID
  "iat": 233366400,         // Unix timestamp of the assertion's creation time
  "exp": 233370000,         // Unix timestamp of the assertion's expiration time
  "name": "Jan Jansen",
  "given_name": "Jan",
  "family_name": "Jansen",
  "email": "jan@gmail.com", // If present, the user's email address
  "email_verified": true,   // true, if Google has verified the email address
  "hd": "example.com",      // If present, the host domain of the user's GSuite email address
                            // If present, a URL to user's profile picture
  "picture": "https://lh3.googleusercontent.com/a-/AOh14GjlTnZKHAeb94A-FmEbwZv7uJD986VOF1mJGb2YYQ",
  "locale": "en_US"         // User's locale, from browser or phone settings
}

Selain memverifikasi tanda tangan token, verifikasi bahwa penerbit pernyataan (bidang iss ) adalah https://accounts.google.com , bahwa audiens (bidang aud ) adalah ID klien yang Anda tetapkan, dan bahwa token belum kedaluwarsa ( exp bidang).

Dengan menggunakan bidang email , email_verified , dan hd Anda dapat menentukan apakah Google menghosting dan berwenang untuk sebuah alamat email. Jika Google berwenang, pengguna saat ini diketahui sebagai pemilik akun yang sah dan Anda dapat melewati sandi atau metode tantangan lainnya. Jika tidak, metode ini dapat digunakan untuk memverifikasi akun sebelum menautkan.

Kasus di mana Google berwibawa:

  • email memiliki akhiran @gmail.com , ini adalah akun Gmail.
  • email_verified benar dan hd disetel, ini adalah akun G Suite.

Pengguna dapat mendaftar untuk Akun Google tanpa menggunakan Gmail atau G Suite. Jika email tidak berisi akhiran @gmail.com dan hd tidak ada, Google tidak berwibawa dan sandi atau metode tantangan lainnya disarankan untuk memverifikasi pengguna. email_verfied juga bisa benar karena Google awalnya memverifikasi pengguna saat akun Google dibuat, namun kepemilikan akun email pihak ketiga mungkin telah berubah.

Validasi informasi pengguna dan buat akun baru

Periksa apakah salah satu dari kondisi berikut ini benar:

  • Akun Google ID, ditemukan di pernyataan ini sub bidang, adalah dalam database pengguna Anda.
  • Alamat email dalam pernyataan cocok dengan pengguna di database pengguna Anda.

Jika salah satu kondisi tersebut benar, minta pengguna untuk menautkan akun mereka yang ada dengan Akun Google mereka. Untuk melakukannya, merespon permintaan dengan HTTP 401 error yang menentukan error=linking_error dan memberikan alamat email pengguna sebagai login_hint . Berikut ini adalah contoh tanggapan:

HTTP/1.1 401 Unauthorized
Content-Type: application/json;charset=UTF-8

{
  "error":"linking_error",
  "login_hint":"foo@bar.com"
}

Ketika Google menerima respon error 401 dengan linking_error , Google mengirimkan pengguna untuk endpoint otorisasi Anda dengan login_hint sebagai parameter. Pengguna menyelesaikan penautan akun menggunakan alur penautan OAuth di browser mereka.

Jika tidak ada kondisi yang benar, buat akun pengguna baru dengan informasi yang disediakan di JWT. Akun baru biasanya tidak memiliki set kata sandi. Sebaiknya tambahkan Google Sign-In ke platform lain untuk memungkinkan pengguna masuk dengan Google di seluruh permukaan aplikasi Anda. Atau, Anda dapat mengirim email kepada pengguna tautan yang memulai alur pemulihan kata sandi Anda untuk memungkinkan pengguna menyetel kata sandi untuk masuk di platform lain.

Ketika penciptaan selesai, mengeluarkan token akses dan mengembalikan nilai-nilai dalam sebuah objek JSON dalam tubuh respon HTTPS Anda, seperti dalam contoh berikut:

{
  "token_type": "Bearer",
  "access_token": "ACCESS_TOKEN",

  "expires_in": SECONDS_TO_EXPIRATION
}

Memvalidasi implementasi Anda

You can validate your implementation by using the OAuth 2.0 Playground tool.

In the tool, do the following steps:

  1. Click Configuration to open the OAuth 2.0 Configuration window.
  2. In the OAuth flow field, select Client-side.
  3. In the OAuth Endpoints field, select Custom.
  4. Specify your OAuth 2.0 endpoint and the client ID you assigned to Google in the corresponding fields.
  5. In the Step 1 section, don't select any Google scopes. Instead, leave this field blank or type a scope valid for your server (or an arbitrary string if you don't use OAuth scopes). When you're done, click Authorize APIs.
  6. In the Step 2 and Step 3 sections, go through the OAuth 2.0 flow and verify that each step works as intended.

You can validate your implementation by using the Google Account Linking Demo tool.

In the tool, do the following steps:

  1. Click the Sign-in with Google button.
  2. Choose the account you'd like to link.
  3. Enter the service ID.
  4. Optionally enter one or more scopes that you will request access for.
  5. Click Start Demo.
  6. When prompted, confirm that you may consent and deny the linking request.
  7. Confirm that you are redirected to your platform.