Halaman ini diterjemahkan oleh Cloud Translation API.
Switch to English

Gambaran

Penautan akun memungkinkan pemegang Akun Google untuk terhubung dengan cepat, lancar, dan aman ke layanan Anda. Anda dapat memilih untuk menerapkan Penautan Akun Google untuk berbagi data pengguna dari platform Anda dengan aplikasi dan layanan Google.

Protokol OAuth 2.0 yang aman memungkinkan Anda dengan aman menautkan Akun Google pengguna dengan akun mereka di platform Anda, sehingga memberikan akses perangkat dan aplikasi Google ke layanan Anda.

Pengguna dapat menautkan atau membatalkan tautan akun mereka dan secara opsional membuat akun baru di platform Anda dengan Penautan Akun Google.

Kasus penggunaan

Beberapa alasan untuk menerapkan Penautan Akun Google adalah:

  • Bagikan data pengguna dari platform Anda dengan aplikasi dan layanan Google.

  • Putar video dan konten film Anda menggunakan Google TV .

  • Kelola dan kontrol perangkat terhubung Google Smart Home menggunakan aplikasi Google Home dan Asisten Google, "Hai Google, nyalakan lampu".

  • Buat pengalaman dan fungsi Asisten Google yang disesuaikan pengguna dengan Tindakan Percakapan , "Hai Google, pesan saya yang biasa dari Starbucks".

  • Izinkan pengguna untuk mendapatkan bonus dengan menonton live stream yang memenuhi syarat di YouTube setelah menautkan Akun Google mereka ke akun partner reward .

  • Isi akun baru terlebih dahulu selama pendaftaran dengan data yang dibagikan secara suka sama suka dari profil Akun Google .

Fitur yang didukung

Fitur ini didukung oleh Penautan Akun Google:

  • Bagikan data Anda dengan cepat dan mudah menggunakan alur implisit Penautan OAuth .

  • Berikan keamanan yang lebih baik dengan alur kode otorisasi Penautan OAuth .

  • Masuk ke pengguna yang ada atau daftarkan pengguna terverifikasi Google baru ke platform Anda, dapatkan persetujuan mereka, dan bagikan data secara aman dengan Penautan yang disederhanakan .

  • Kurangi gesekan dengan App Flip . Dari aplikasi Google tepercaya, satu ketukan akan membuka aplikasi Android atau iOS terverifikasi Anda dengan aman dan satu ketukan memberikan izin pengguna dan menautkan akun.

  • Tingkatkan privasi pengguna dengan menentukan cakupan khusus untuk hanya membagikan data yang diperlukan, tingkatkan kepercayaan pengguna dengan menentukan secara jelas bagaimana data mereka digunakan.

  • Akses ke data dan layanan yang dihosting di platform Anda dapat dicabut dengan membatalkan tautan akun. Menerapkan titik akhir pencabutan token opsional memungkinkan Anda tetap sinkron dengan peristiwa yang dimulai Google, sementara Perlindungan Lintas Akun (RISC) memungkinkan Anda memberi tahu Google tentang peristiwa pembatalan tautan apa pun yang terjadi di platform Anda.

Alur penautan akun

Ada 3 alur Penautan Akun Google yang semuanya berbasis OAuth dan mengharuskan Anda mengelola atau mengontrol otorisasi yang sesuai dengan OAuth 2.0 dan titik akhir pertukaran token.

Selama proses penautan, Anda mengeluarkan token akses ke Google untuk masing-masing Akun Google setelah mendapatkan persetujuan pemegang akun untuk menautkan akun mereka dan membagikan data.

Penautan OAuth ('Web OAuth')

Ini adalah aliran OAuth dasar yang mengarahkan pengguna ke situs Anda untuk ditautkan. Pengguna dialihkan ke situs web Anda untuk masuk ke akun mereka. Setelah masuk, pengguna setuju untuk berbagi datanya, di layanan Anda, dengan Google. Pada saat itu, Akun Google pengguna dan layanan Anda akan ditautkan.

Penautan OAuth mendukung kode otorisasi dan aliran OAuth implisit. Layanan Anda harus menghosting titik akhir otorisasi yang sesuai dengan OAuth 2.0 untuk aliran implisit, dan harus memperlihatkan titik akhir otorisasi dan pertukaran token saat menggunakan alur kode otorisasi.

Gambar 1 . Penautan Akun di ponsel pengguna dengan OAuth Web

Penautan Balik Aplikasi berbasis OAuth ('Pembalikan Aplikasi')

Alur OAuth yang mengarahkan pengguna ke aplikasi Anda untuk ditautkan.

Penautan Balik Aplikasi berbasis OAuth memandu pengguna saat mereka berpindah antara aplikasi seluler Android atau iOS terverifikasi dan platform Google untuk meninjau usulan perubahan akses data dan memberikan persetujuan mereka untuk menautkan akun mereka di platform Anda dengan akun Google mereka. Untuk mengaktifkan App Flip, layanan Anda harus mendukung Penautan OAuth atau Penautan Masuk Google berbasis OAuth menggunakan alur kode otorisasi .

App Flip didukung untuk Android dan iOS .

Bagaimana itu bekerja:

Google app memeriksa apakah aplikasi Anda diinstal di perangkat pengguna:

  • Jika aplikasi ditemukan, pengguna 'dibalik' ke aplikasi Anda. Aplikasi Anda mengumpulkan persetujuan dari pengguna untuk menautkan akun dengan Google, lalu 'membalik kembali' ke permukaan Google.
  • Jika aplikasi tidak ditemukan atau terjadi kesalahan selama proses penautan balik aplikasi, pengguna dialihkan ke aliran OAuth Web atau yang Disederhanakan.

Gambar 2 . Penautan Akun di ponsel pengguna dengan App Flip

Penautan Efisien Berbasis OAuth ('Efisien')

Penautan Efisien Masuk Google berbasis OAuth menambahkan Masuk dengan Google di atas penautan OAuth, memungkinkan pengguna menyelesaikan penautan proses penautan tanpa meninggalkan permukaan Google, sehingga mengurangi gesekan dan penurunan. Penautan Sederhana berbasis OAuth menawarkan pengalaman pengguna terbaik dengan proses masuk yang mulus, pembuatan akun, dan penautan akun dengan menggabungkan Masuk dengan Google dengan penautan OAuth. Layanan Anda harus mendukung otorisasi yang sesuai dengan OAuth 2.0 dan titik akhir pertukaran token. Selain itu, titik akhir pertukaran token Anda harus mendukung pernyataan JSON Web Token (JWT) dan menerapkan maksud check , create , dan get .

Bagaimana itu bekerja:

Google menegaskan akun pengguna dan meneruskan informasi ini kepada Anda:

  • Jika ada akun untuk pengguna di database Anda, pengguna berhasil menautkan akun Google mereka dengan akun mereka di layanan Anda.
  • jika tidak ada akun untuk pengguna di basis data Anda, pengguna dapat membuat akun 3P baru dengan informasi tegas yang disediakan Google: email, nama, dan gambar profil , atau memilih untuk masuk dan menautkan dengan email lain (ini akan mengharuskan mereka untuk masuk ke layanan Anda melalui OAuth Web).

Gambar 3 . Penautan Akun di ponsel pengguna dengan Penautan yang Disederhanakan

Aliran mana yang harus Anda gunakan?

Sebaiknya terapkan semua alur untuk memastikan pengguna mendapatkan pengalaman penautan terbaik. Aliran Streamlined dan App flip mengurangi gesekan penautan karena pengguna dapat menyelesaikan proses penautan dalam beberapa langkah. Penautan OAuth Web memiliki tingkat upaya terendah dan merupakan tempat yang baik untuk memulai, setelah itu Anda dapat menambahkan alur penautan lainnya.

Bekerja dengan token

Penautan Akun Google didasarkan pada standar industri OAuth 2.0.

Anda mengeluarkan token akses ke Google untuk Akun Google individu setelah mendapatkan persetujuan pemegang akun untuk menautkan akun mereka dan membagikan data.

Jenis token

OAuth 2.0 menggunakan string yang disebut token untuk berkomunikasi antara agen pengguna, aplikasi klien, dan server OAuth 2.0.

Tiga jenis token OAuth 2.0 dapat digunakan selama penautan akun:

  • Kode otorisasi . Token berumur pendek yang dapat ditukar dengan akses dan token penyegaran. Untuk tujuan keamanan, Google memanggil titik akhir otorisasi Anda untuk mendapatkan kode sekali pakai atau berumur sangat pendek.

  • Token akses . Token yang memberikan akses pembawa ke sumber daya. Untuk membatasi eksposur yang dapat diakibatkan oleh hilangnya token ini, token ini memiliki masa hidup terbatas, biasanya kedaluwarsa setelah sekitar satu jam.

  • Segarkan token . Token berumur panjang yang dapat ditukar dengan token akses baru ketika token akses kedaluwarsa. Saat layanan Anda terintegrasi dengan Google, token ini disimpan dan digunakan secara eksklusif oleh Google. Google memanggil titik akhir pertukaran token Anda untuk menukar token penyegaran dengan token akses, yang pada gilirannya digunakan untuk mengakses data pengguna.

Penanganan token

Kondisi balapan di lingkungan berkerumun dan pertukaran klien-server dapat mengakibatkan skenario waktu yang kompleks dan penanganan kesalahan saat bekerja dengan token. Sebagai contoh:

  • Anda menerima permintaan untuk token akses baru, dan Anda mengeluarkan token akses baru. Secara bersamaan, Anda menerima permintaan untuk akses ke sumber daya layanan Anda menggunakan token akses yang sebelumnya tidak kedaluwarsa.
  • Balasan refresh token Anda belum diterima (atau tidak pernah diterima) oleh Google. Sementara itu, token penyegaran yang sebelumnya valid digunakan dalam permintaan dari Google.

Permintaan dan balasan dapat tiba dalam urutan apa pun, atau tidak sama sekali karena layanan asinkron yang berjalan di cluster, perilaku jaringan, atau cara lain.

Status bersama yang langsung dan sepenuhnya konsisten baik di dalam, dan di antara, sistem penanganan token Anda dan Google tidak dapat dijamin. Beberapa token yang valid dan tidak kedaluwarsa dapat hidup berdampingan di dalam atau di seluruh sistem dalam waktu singkat. Untuk meminimalkan dampak negatif pengguna, kami menyarankan Anda melakukan hal berikut:

  • Terima token akses yang tidak kedaluwarsa, bahkan setelah token yang lebih baru diterbitkan.
  • Gunakan alternatif selain Refresh Token Rotation .
  • Mendukung beberapa akses yang valid secara bersamaan dan token penyegaran. Demi keamanan, Anda harus membatasi jumlah token dan masa pakai token.
Perawatan dan penanganan pemadaman

Selama pemeliharaan atau pemadaman yang tidak direncanakan, Google mungkin tidak dapat menghubungi otorisasi atau titik akhir pertukaran token Anda untuk mendapatkan akses dan menyegarkan token.

Titik akhir Anda harus merespons dengan kode kesalahan 503 dan isi kosong. Dalam kasus ini, Google mencoba kembali permintaan pertukaran token yang gagal untuk waktu yang terbatas. Asalkan Google nantinya bisa mendapatkan token penyegaran dan akses, permintaan yang gagal tidak akan terlihat oleh pengguna.

Permintaan yang gagal untuk token akses menghasilkan kesalahan yang terlihat, jika dimulai oleh pengguna. Pengguna akan diminta untuk mencoba kembali kegagalan penautan jika alur OAuth 2.0 implisit digunakan.

Rekomendasi

Ada banyak solusi untuk meminimalkan dampak pemeliharaan. Beberapa opsi untuk dipertimbangkan:

  • Pertahankan layanan Anda yang ada dan rutekan sejumlah permintaan terbatas ke layanan yang baru diperbarui. Migrasikan semua permintaan hanya setelah mengonfirmasi fungsi yang diharapkan.

  • Kurangi jumlah permintaan token selama periode pemeliharaan:

    • Batasi periode pemeliharaan hingga kurang dari masa pakai token akses.

    • Tingkatkan masa pakai token akses untuk sementara:

      1. Tingkatkan masa pakai token menjadi lebih lama dari periode pemeliharaan.
      2. Tunggu dua kali durasi token akses Anda seumur hidup, memungkinkan pengguna untuk menukar token berumur pendek dengan token berdurasi lebih lama.
      3. Masuk pemeliharaan.
      4. Tanggapi permintaan token dengan kode kesalahan 503 dan isi kosong.
      5. Keluar dari perawatan.
      6. Kurangi masa pakai token kembali normal.

Mendaftar dengan Google

Kami memerlukan detail penyiapan OAuth 2.0 Anda dan membagikan kredensial untuk mengaktifkan penautan akun. Lihat pendaftaran untuk detailnya.