דף זה תורגם על ידי Cloud Translation API.

סקירה כללית

קישור חשבונות מאפשר לבעלי חשבונות Google להתחבר במהירות, בצורה חלקה ובטוחה לשירותים שלכם. יש לך אפשרות להטמיע חשבון Google קישור כדי לשתף נתונים של משתמש מהפלטפורמה שלך עם אפליקציות ושירותים של Google.

פרוטוקול OAuth 2.0 המאובטח מאפשר קישור בטוח של חשבון Google של משתמש לחשבון שלו בפלטפורמה שלכם, ובכך מאפשר לאפליקציות ולמכשירים של Google לגשת לשירותים שלכם.

המשתמשים יכולים לקשר בין החשבונות שלהם או לבטל את הקישור שלהם, ואם רוצים, אפשר ליצור חשבון חדש בפלטפורמה באמצעות קישור לחשבון Google.

תרחישים לדוגמה

הנה כמה מהסיבות ליישום קישור של חשבון Google:

שיתוף נתונים של משתמש מהפלטפורמה שלך עם אפליקציות ושירותים של Google.
מפעילים את תוכן הווידאו והסרט באמצעות Google TV.
ניהול ובקרת מכשירים חכמים בבית באמצעות Google Home בעזרת אפליקציית Google Home ו-Google Assistant,
יצירה של חוויית משתמש מותאמת אישית ופונקציונליות של Google Assistant באמצעות פעולות שיחה, "Hey Google, order my normal from Starbucks".
משתמשים יוכלו להרוויח פרסים על ידי צפייה בשידורים חיים שעומדים בקריטריונים ב-YouTube, לאחר קישור חשבון Google שלהם לחשבון שותפים.
אכלס מראש חשבונות חדשים במהלך ההרשמה בנתונים ששותפו בהסכמה מפרופיל חשבון Google.

תכונות נתמכות

התכונות הבאות נתמכות על ידי קישור לחשבון Google:

תוכלו לשתף את הנתונים שלכם במהירות ובקלות באמצעות התהליך המשתמע של קישור OAuth.
משפרים את האבטחה בעזרת התהליך של קוד ההרשאה לקישור OAuth.
בכניסה לחשבון של משתמשים קיימים או בהרשמה של משתמשים חדשים שאומתו על ידי Google, ניתן לקבל את הסכמתם ולשתף את הנתונים באופן מאובטח עם קישור משופר.
משפרים את החיכוך בעזרת היפוך אפליקציות. באפליקציית Google מהימנה, הקשה אחת פותחת בצורה מאובטחת את האפליקציה ל-Android או ל-iOS שאומתה, ובהקשה אחת אתם מעניקים את הסכמת המשתמשים ואת החשבונות המקושרים.
כדי לשפר את פרטיות המשתמשים, מומלץ להגדיר היקפים מותאמים אישית כדי לשתף רק את הנתונים הנחוצים, וכך להגביר את אמון המשתמשים על ידי הגדרה ברורה של אופן השימוש בנתונים שלהם.
ניתן לבטל את הגישה לנתונים ולשירותים שמתארחים בפלטפורמה שלכם על ידי ביטול הקישור של החשבונות. הטמעה של נקודת קצה לביטול אסימון מאפשרת לכם להסתנכרן עם אירועים ש-Google יזמה, הגנה על חשבונות שונים (RISC) מאפשרת לכם להודיע ל-Google על אירועי ביטול קישור שמתרחשים בפלטפורמה שלכם.

תהליכי קישור חשבונות

יש 3 תהליכי קישור של חשבון Google שכולם מבוססים על OAuth ומחייבים אתכם לנהל או לשלוט בנקודות קצה (endpoint) של תאימות OAuth ו-2.0 של אסימונים.

במהלך הקישור, אתם מנפיקים אסימוני גישה ל-Google עבור חשבונות Google ספציפיים, לאחר שבעלי החשבונות מביעים הסכמה לקשר את החשבונות שלהם ולשתף נתונים.

קישור OAuth ('Web OAuth')

זהו תהליך OAuth בסיסי שמפנה משתמשים לאתר שלכם לצורך קישור. המשתמש מופנה לאתר שלכם כדי להיכנס לחשבון. לאחר הכניסה, המשתמש מסכים לשתף את הנתונים שלו עם השירות שלך עם Google. בשלב זה, חשבון Google של המשתמש והשירות שלך יהיו מקושרים.

קישור OAuth תומך בקוד ההרשאה ובתהליכי OAuth מרומזים. השירות שלכם צריך לארח נקודת קצה להרשאה ב-OAuth 2.0 בתהליך המשתמע, ולחשוף אותה גם במהלך נקודת הקצה של ההרשאה וגם כנקודת הקצה של ההרשאה.

הערה: ההטמעה של

איור 1. קישור חשבונות בטלפון של משתמש באמצעות OAuth באינטרנט

קישור Flip App מבוסס-OAuth ('Flip')

תהליך OAuth שמפנה משתמשים אל האפליקציה שלכם לצורך קישור.

קישור ל-Flip App מבוסס-OAuth מנחה את המשתמשים בזמן המעבר בין האפליקציות המאומתות שלכם ל-Android ול-iOS לבין הפלטפורמה של Google&#39, כדי לבדוק את ההצעות לשינויים בגישה לנתונים ולהעניק להם את הסכמתם לקשר את החשבון שלהם בפלטפורמה לחשבון Google שלהם. כדי להפעיל את 'היפוך אפליקציות', השירות צריך לתמוך בקישור OAuth או בקישור לכניסה באמצעות חשבון Google המבוסס על OAuth, באמצעות תהליך קוד הרשאה.

ה-App Flip נתמך גם ב-Android וגם ב-iOS.

איך זה עובד:

אפליקציית Google בודקת אם האפליקציה שלך מותקנת במכשיר המשתמש:

אם האפליקציה נמצאת, המשתמש 'היפוך' לאפליקציה שלך. האפליקציה אוספת את הסכמת המשתמש לקשר את החשבון אל Google, ואז 'מחזירה בחזרה' לפני השטח של Google.
אם האפליקציה לא נמצאה או שמתרחשת שגיאה במהלך תהליך הקישור של היפוך האפליקציה, המשתמש מופנה לתהליך זרימה או תהליך OAuth OAuth.

איור 2. קישור חשבון בטלפון של משתמש עם היפוך אפליקציות

קישור המבוסס על OAuth בעיצוב נקי ('מייעל')

קישור כניסה באמצעות חשבון Google המבוסס על OAuth מוסיף את הכניסה ל-Google בנוסף לקישור OAuth, וכך מאפשר למשתמשים להשלים את תהליך הקישור בלי לצאת מהפלטפורמה של Google. קישור מהיר מבוסס-OAuth מספק את חוויית המשתמש הטובה ביותר עם כניסה חלקה, יצירת חשבונות וקישור לחשבון, על ידי שילוב כניסה באמצעות חשבון Google עם קישור OAuth. השירות צריך לתמוך בהרשאות OAuth 2.0 ובנקודות קצה לחילופי מטבעות. בנוסף, נקודת הקצה של החלפת אסימונים חייבת לתמוך באסימוני אינטרנט מסוג JSON (JWT) ולהטמיע את ההגדרות check, create ו-get.

איך זה עובד:

Google מאמתת את חשבון המשתמש ושולחת לכם את המידע הבא:

אם קיים חשבון עבור המשתמש במסד הנתונים, המשתמש יקשר בהצלחה את חשבון Google שלו לחשבון שלו בשירות.
אם לא קיים חשבון עבור המשתמש במסד הנתונים, המשתמש יכול ליצור חשבון צד שלישי חדש עם המידע ש-Google מספקת: כתובת אימייל, שם ותמונת פרופיל. לחלופין, הוא יכול להיכנס לחשבון ולקשר לכתובת אימייל אחרת (לשם כך, הוא יצטרך להיכנס לשירות באמצעות OAuth באינטרנט).

איור 3. קישור חשבונות בטלפון של משתמש עם קישור בעיצוב נקי

באיזה תהליך להשתמש?

אנחנו ממליצים להטמיע את כל תהליכי העבודה כדי להבטיח שהמשתמשים ייהנו מחוויית הקישור הטובה ביותר. תהליכי הקישור בעיצוב נקי ובהיפוך האפליקציות מפחיתים את מידת הקישור, כי המשתמשים יכולים להשלים את תהליך הקישור בכמה שלבים פשוטים. הקישור ל-OAuth OAuth מניב את רמת המאמץ הנמוכה ביותר, והוא מקום טוב להתחיל ממנו לאחר מכן תוכלו להוסיף את זרימות הקישור האחרות.

עבודה עם אסימונים

הקישור לחשבון Google מבוסס על תקן OAuth 2.0 של התחום.

אתם מנפיקים אסימוני גישה ל-Google עבור חשבונות Google ספציפיים, לאחר קבלת הסכמה של בעלי החשבון לקשר את החשבונות שלהם ולשתף נתונים איתם.

Token types

OAuth 2.0 uses strings called tokens to communicate between the user agent, the client application, and the OAuth 2.0 server.

Three types of OAuth 2.0 tokens can be used during account linking:

Authorization code. A short-lived token that can be exchanged for an access and a refresh token. For security purposes, Google calls your authorization endpoint to obtain a single use or very short-lived code.
Access token. A token that grants the bearer access to a resource. To limit exposure that could result from the loss of this token, it has a limited lifetime, usually expiring after an hour or so.
Refresh token. A long-lived token that can be exchanged for a new access token when an access token expires. When your service integrates with Google, this token is exclusively stored and used by Google. Google calls your token exchange endpoint to exchange refresh tokens for access tokens, which are in turn used to access user data.

Token handling

Race conditions in clustered environments and client-server exchanges can result in complex timing and error handling scenarios when working with tokens. For example:

You receive a request for a new access token, and you issue a new access token. Concurrently, you receive a request for access to your service's resource using the previous, unexpired access token.
Your refresh token reply is yet to be received (or is never received) by Google. Meanwhile, the previously valid refresh token is used in a request from Google.

Requests and replies can arrive in any order, or not at all due to asynchronous services running in a cluster, network behavior, or other means.

Immediate and fully consistent shared state both within, and between, your and Google's token handling systems cannot be guaranteed. Multiple valid, unexpired tokens can coexist within or across systems short period of time. To minimize negative user impact we recommend you do the following:

Accept unexpired access tokens, even after a newer token is issued.
Use alternatives to Refresh Token Rotation.
Support multiple, concurrently valid access and refresh tokens. For security, you should limit the number of tokens and token lifetime.

Maintenance and outage handling

During maintenance or unplanned outages Google might be unable to call your authorization or token exchange endpoints to obtain access and refresh tokens.

Your endpoints should respond with a 503 error code and empty body. In this case, Google retries failed token exchange requests for a limited time. Provided that Google is later able to obtain refresh and access tokens, failed requests are not visible to users.

Failing requests for an access token result in a visible error, if initiated by a user. Users will be required to retry linking failures if the implicit OAuth 2.0 flow is used.

Recommendations

There are many solutions to minimize maintenance impact. Some options to consider:

Maintain your existing service and route a limited number of requests to your newly updated service. Migrate all requests only after confirming expected functionality.
Reduce the number of token requests during the maintenance period:
- Limit maintenance periods to less than the access token lifetime.
- Temporarily increase the access token lifetime:
  1. Increase token lifetime to greater than maintenance period.
  2. Wait twice the duration of your access token lifetime, enabling users to exchange short lived tokens for longer duration tokens.
  3. Enter maintenance.
  4. Respond to token requests with a 503 error code and empty body.
  5. Exit maintenance.
  6. Decrease token lifetime back to normal.

הרשמה באמצעות Google

אנחנו זקוקים לפרטים של הגדרת OAuth 2.0 ולשיתוף פרטי הכניסה כדי להפעיל את קישור החשבונות. פרטים נוספים זמינים בדף הרישום.