總覽

「使用 Google 帳戶登入」功能可協助您快速管理網站上的使用者驗證狀態。使用者登入 Google 帳戶並提供同意聲明,然後安全地與平台分享個人資料。

使用者註冊及登入時,支援自訂按鈕和多個流程。

註冊是指取得 Google 帳戶持有人同意與平台分享個人資料的步驟。一般來說,系統會在您的網站上使用這項共用資料建立新帳戶,但這並非必要條件。

登入是指透過自己有效的 Google 帳戶,透過個人化登入按鈕One Tap自動登入 (對於已登入 Google 帳戶的使用者) 登入您的網站。

請參閱個案研究,瞭解「使用 Google 帳戶登入」功能整合的一些成功案例。

您也可以使用 Google Identity Services 授權 API,取得用於 Google API 的存取權杖或存取使用者資料。

使用者隱私

「使用 Google 帳戶登入」功能的資料不會用於廣告或其他與確保安全性無關的用途。

用途

以下列舉一些在網站中新增「使用 Google 帳戶登入」功能的原因:

  • 為帳戶建立或設定頁面,加入明顯可信任且安全的「使用 Google 帳戶登入」按鈕。
  • 在新帳戶中預先填入 Google 帳戶設定檔的一致共用資料。
  • 使用者只要登入 Google 帳戶一次,就能在其他網站上重新輸入使用者名稱或密碼,
  • 使用者回訪時,可以自動登入,也可以一鍵在整個網站上使用。
  • 使用已驗證的 Google 帳戶防止留言、投票或表單遭到濫用,同時允許匿名身分。

支援的功能

「使用 Google 帳戶登入」功能支援以下功能:

  • 註冊可選擇建立新帳戶,也可以根據 Google 帳戶個人資料自動填入內容。
  • 使用帳戶選擇工具登入帳戶,然後從多個帳戶中選取。
  • 如果您已登入 Google 帳戶,只要輕觸一下即可登入。
  • 使用電腦、手機,甚至是多個瀏覽器分頁自動登入。
  • 登出即可停用所有裝置的自動登入功能。

請注意帳戶狀態可能對「使用 Google 帳戶登入」功能的影響:

  • 暫停 Google 帳戶會讓無法使用「使用 Google 帳戶登入」功能登入所有網站。
  • 刪除 Google 或合作夥伴帳戶只會影響其中一個帳戶,但不會對帳戶造成影響。

與 OAuth 和 OpenID Connect 比較

OAuth 和 OpenId Connect 是開放標準,提供多種可設定的選項,方便您微調驗證和授權流程的行為。詳情請參閱 Google 的 OAuth 說明文件

「使用 Google 帳戶登入」功能提供單一 SDK,其中包含個人化按鈕、One Tap、自動登入和授權。它的目標是為開發人員提供比標準 OAuth 和 OpenID Connect 通訊協定更簡單安全的體驗,同時提供更順暢的使用者體驗。

  • 「使用 Google 帳戶登入」功能採用 OAuth 2.0 機制。使用者透過「使用 Google 帳戶登入」功能授予的權限與為 OAuth 授予的權限相同,反之亦然。
  • OAuth 2.0 也是業界標準的授權通訊協定。這個 API 提供一組依賴方使用 HTTP 整合的端點。
  • Google Identity Services (GIS) API 支援多種語言,包括 JavaScript 和 HTML,這些語言會提供驗證和授權。
  • GIS 可將驗證時間與授權時間分開。在驗證過程中,只要將部分 UI 元素整合至網站 (例如個人化按鈕、One Tap 和自動登入) 即可進行快速整合。這些 UI 元素在所有第三方網站提供一致的驗證使用者體驗。在授權期間,GIS 會觸發 OAuth 流程,以便代表使用者傳回資料存取的憑證。
  • GIS 驗證可以讓依賴方更輕鬆地整合,並減輕開發人員大部分的 OAuth 與安全性知識負擔。您不需要選擇各種方法來取得存取權杖或授權碼,或選擇錯誤方法的後果。雖然 OAuth 2.0 通訊協定會公開許多詳細資料 (例如 HTTP 端點的要求和回應參數),但 GIS 會為您處理這些實作詳細資料。此外,GIS 預設包含一些跨網站偽造要求 (CSRF) 防護的安全性實作。
  • 在 HTML API 和程式碼產生器中,GIS 驗證可降低依賴方整合的門檻。您不需要 JavaScript 開發人員就能產生程式碼。這樣會降低所需的 OAuth 體驗等級和實作時間。
  • GIS 授權使用者體驗完全以 OAuth 使用者體驗為基礎。然而,GIS JavaScript 程式庫會新增一些限制,讓第三方整合作業更加簡單安全。
  • GIS 還提供一些 OAuth 通訊協定以外的功能。例如整合 Password Credential Manager APIFederated Credential Manager API

有了 Google Identity 服務,開發人員可以使用整合的專屬服務,讓使用者以使用者選擇的任何登入憑證登入開發人員網站和應用程式。GIS 的使命是支援並簡化多種憑證類型的使用者體驗,進而減少依賴方整合的技術門檻。

Federated Credential Manager (FedCM)

做為 Privacy Sandbox 計畫的一環,Chrome 將逐步停止支援第三方 Cookie。GIS 會將 FedCM API 整合,這是專為聯合識別資訊提供者提供的新隱私權保護替代方案。GIS 將於 2024 年 4 月開始透過 Chrome 瀏覽器 將所有網站遷移至 FedCM。

不同的驗證和授權時刻

如要取得用於 Google API 或存取使用者資料的存取權杖,您必須呼叫 Google Identity Services 授權 API。此為獨立的 JavaScript API 但會與驗證 API 一併封裝

如果您的網站需要同時呼叫驗證和授權 API,則必須在不同的時機分別呼叫這些 API。在驗證階段,您的網站可以整合 One Tap、自動登入和「使用 Google 帳戶登入」按鈕,讓使用者能夠登入或註冊您的網站。日後需要透過 Google 存取資料時,您可以呼叫 Auth API 來徵求同意,並取得資料存取權的存取權杖。這項區隔符合我們建議的漸進式授權最佳做法,也就是在情境中要求權限。

為了強制分隔,驗證 API 只能傳回用於登入網站的 ID 權杖,而授權 API 只會傳回用於資料存取,但無法登入的存取權杖。

因為有這種分離,使用者在不同網站上都能享有一致的驗證體驗,這有助於提高使用者的信任度和使用率,並增加您網站的使用者轉換率。此外,基於這項差異,Google Identity 服務會降低驗證開發人員所需的 OAuth 體驗等級和時間。