Xác minh mã thông báo giá trị nhận dạng của Google ở phía máy chủ

Sau khi Google trả về một mã thông báo nhận dạng, mã thông báo này sẽ được gửi bằng một yêu cầu phương thức POST HTTP, với tên tham số là credential, đến điểm cuối đăng nhập của bạn.

Sau đây là ví dụ về ngôn ngữ Python cho thấy các bước thông thường để xác thực và sử dụng mã thông báo nhận dạng:

  1. Xác minh mã thông báo Giả mạo yêu cầu trên nhiều trang web (CSRF). Khi bạn gửi thông tin xác thực đến điểm cuối đăng nhập, chúng tôi sử dụng mẫu gửi cookie hai lần để ngăn các cuộc tấn công CSRF. Trước mỗi lần gửi, chúng ta sẽ tạo một mã thông báo. Sau đó, mã thông báo được đưa vào cả cookie và nội dung bài đăng, như trong ví dụ mã sau:

    csrf_token_cookie = self.request.cookies.get('g_csrf_token')
if not csrf_token_cookie:
    webapp2.abort(400, 'No CSRF token in Cookie.')
csrf_token_body = self.request.get('g_csrf_token')
if not csrf_token_body:
    webapp2.abort(400, 'No CSRF token in post body.')
if csrf_token_cookie != csrf_token_body:
    webapp2.abort(400, 'Failed to verify double submit cookie.')

  2. Xác minh mã thông báo nhận dạng.

    Để xác minh rằng mã thông báo hợp lệ, hãy đảm bảo rằng bạn đáp ứng các tiêu chí sau:

    • Mã thông báo nhận dạng được Google ký đúng cách. Sử dụng khoá công khai của Google (có ở định dạng JWK hoặc PEM) để xác minh chữ ký của mã thông báo. Các khoá này được xoay vòng thường xuyên; hãy kiểm tra tiêu đề Cache-Control trong phản hồi để xác định thời điểm bạn nên truy xuất lại các khoá này.
    • Giá trị của aud trong mã thông báo nhận dạng bằng một trong các mã ứng dụng khách của ứng dụng. Bạn cần thực hiện bước kiểm tra này để ngăn chặn việc sử dụng mã nhận dạng (ID) được cấp cho một ứng dụng độc hại nhằm truy cập vào dữ liệu về cùng một người dùng trên máy chủ phụ trợ của ứng dụng.
    • Giá trị của iss trong mã thông báo nhận dạng bằng accounts.google.com hoặc https://accounts.google.com.
    • Thời gian hết hạn (exp) của mã thông báo nhận dạng chưa trôi qua.
    • Nếu cần xác thực rằng mã thông báo nhận dạng đại diện cho tài khoản tổ chức Google Workspace hoặc Cloud, bạn có thể kiểm tra khai báo hd. Khai báo này cho biết miền được lưu trữ của người dùng. Bạn phải sử dụng tham số này khi chỉ cho phép thành viên của một số miền nhất định truy cập vào một tài nguyên. Việc thiếu xác nhận quyền sở hữu này cho biết rằng tài khoản không thuộc về một miền do Google lưu trữ.

    Bằng cách sử dụng các trường email, email_verifiedhd, bạn có thể xác định xem Google có lưu trữ và có quyền đối với một địa chỉ email hay không. Trong trường hợp Google là nguồn đáng tin cậy, người dùng được xác định là chủ sở hữu hợp pháp của tài khoản và bạn có thể bỏ qua mật khẩu hoặc các phương thức thử thách khác.

    Các trường hợp Google là nguồn thông tin xác thực:

    • email có đuôi là @gmail.com, đây là tài khoản Gmail.
    • email_verified là true và hd được đặt, thì đây là tài khoản Google Workspace.

    Người dùng có thể đăng ký Tài khoản Google mà không cần sử dụng Gmail hoặc Google Workspace. Khi email không chứa hậu tố @gmail.com và không có hd, Google không phải là nguồn có thẩm quyền và bạn nên dùng mật khẩu hoặc các phương thức thử thách khác để xác minh người dùng. email_verified cũng có thể đúng vì ban đầu Google đã xác minh người dùng khi tài khoản Google được tạo. Tuy nhiên, quyền sở hữu tài khoản email bên thứ ba có thể đã thay đổi kể từ đó.

    Thay vì tự viết mã để thực hiện các bước xác minh này, bạn nên sử dụng một thư viện ứng dụng API của Google cho nền tảng của mình hoặc một thư viện JWT đa năng. Để phát triển và gỡ lỗi, bạn có thể gọi điểm cuối xác thực tokeninfo của chúng tôi.

    Using a Google API Client Library

    Using one of the Google API Client Libraries (e.g. Java, Node.js, PHP, Python) is the recommended way to validate Google ID tokens in a production environment.

    Java

    To validate an ID token in Java, use the GoogleIdTokenVerifier object. For example:

    import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;

...

GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
    // Specify the WEB_CLIENT_ID of the app that accesses the backend:
    .setAudience(Collections.singletonList(WEB_CLIENT_ID))
    // Or, if multiple clients access the backend:
    //.setAudience(Arrays.asList(WEB_CLIENT_ID_1, WEB_CLIENT_ID_2, WEB_CLIENT_ID_3))
    .build();

// (Receive idTokenString by HTTPS POST)

GoogleIdToken idToken = verifier.verify(idTokenString);
if (idToken != null) {
  Payload payload = idToken.getPayload();

  // Print user identifier. This ID is unique to each Google Account, making it suitable for
  // use as a primary key during account lookup. Email is not a good choice because it can be
  // changed by the user.
  String userId = payload.getSubject();
  System.out.println("User ID: " + userId);

  // Get profile information from payload
  String email = payload.getEmail();
  boolean emailVerified = Boolean.valueOf(payload.getEmailVerified());
  String name = (String) payload.get("name");
  String pictureUrl = (String) payload.get("picture");
  String locale = (String) payload.get("locale");
  String familyName = (String) payload.get("family_name");
  String givenName = (String) payload.get("given_name");

  // Use or store profile information
  // ...

} else {
  System.out.println("Invalid ID token.");
}

    The GoogleIdTokenVerifier.verify() method verifies the JWT signature, the aud claim, the iss claim, and the exp claim.

    If you need to validate that the ID token represents a Google Workspace or Cloud organization account, you can verify the hd claim by checking the domain name returned by the Payload.getHostedDomain() method. The domain of the email claim is insufficient to ensure that the account is managed by a domain or organization.

    Node.js

    To validate an ID token in Node.js, use the Google Auth Library for Node.js. Install the library: 

    npm install google-auth-library --save
     Then, call the verifyIdToken() function. For example:

    const {OAuth2Client} = require('google-auth-library');
const client = new OAuth2Client();
async function verify() {
  const ticket = await client.verifyIdToken({
      idToken: token,
      audience: WEB_CLIENT_ID,  // Specify the WEB_CLIENT_ID of the app that accesses the backend
      // Or, if multiple clients access the backend:
      //[WEB_CLIENT_ID_1, WEB_CLIENT_ID_2, WEB_CLIENT_ID_3]
  });
  const payload = ticket.getPayload();
  // This ID is unique to each Google Account, making it suitable for use as a primary key
  // during account lookup. Email is not a good choice because it can be changed by the user.
  const userid = payload['sub'];
  // If the request specified a Google Workspace domain:
  // const domain = payload['hd'];
}
verify().catch(console.error);

    The verifyIdToken function verifies the JWT signature, the aud claim, the exp claim, and the iss claim.

    If you need to validate that the ID token represents a Google Workspace or Cloud organization account, you can check the hd claim, which indicates the hosted domain of the user. This must be used when restricting access to a resource to only members of certain domains. The absence of this claim indicates that the account does not belong to a Google hosted domain.

    PHP

    To validate an ID token in PHP, use the Google API Client Library for PHP. Install the library (for example, using Composer): 

    composer require google/apiclient
     Then, call the verifyIdToken() function. For example:

    require_once 'vendor/autoload.php';

// Get $id_token via HTTPS POST.

$client = new Google_Client(['client_id' => $WEB_CLIENT_ID]);  // Specify the WEB_CLIENT_ID of the app that accesses the backend
$payload = $client->verifyIdToken($id_token);
if ($payload) {
  // This ID is unique to each Google Account, making it suitable for use as a primary key
  // during account lookup. Email is not a good choice because it can be changed by the user.
  $userid = $payload['sub'];
  // If the request specified a Google Workspace domain
  //$domain = $payload['hd'];
} else {
  // Invalid ID token
}

    The verifyIdToken function verifies the JWT signature, the aud claim, the exp claim, and the iss claim.

    If you need to validate that the ID token represents a Google Workspace or Cloud organization account, you can check the hd claim, which indicates the hosted domain of the user. This must be used when restricting access to a resource to only members of certain domains. The absence of this claim indicates that the account does not belong to a Google hosted domain.

    Python

    To validate an ID token in Python, use the verify_oauth2_token function. For example:

    from google.oauth2 import id_token
from google.auth.transport import requests

# (Receive token by HTTPS POST)
# ...

try:
    # Specify the WEB_CLIENT_ID of the app that accesses the backend:
    idinfo = id_token.verify_oauth2_token(token, requests.Request(), WEB_CLIENT_ID)

    # Or, if multiple clients access the backend server:
    # idinfo = id_token.verify_oauth2_token(token, requests.Request())
    # if idinfo['aud'] not in [WEB_CLIENT_ID_1, WEB_CLIENT_ID_2, WEB_CLIENT_ID_3]:
    #     raise ValueError('Could not verify audience.')

    # If the request specified a Google Workspace domain
    # if idinfo['hd'] != DOMAIN_NAME:
    #     raise ValueError('Wrong domain name.')

    # ID token is valid. Get the user's Google Account ID from the decoded token.
    # This ID is unique to each Google Account, making it suitable for use as a primary key
    # during account lookup. Email is not a good choice because it can be changed by the user.
    userid = idinfo['sub']
except ValueError:
    # Invalid token
    pass

    The verify_oauth2_token function verifies the JWT signature, the aud claim, and the exp claim. You must also verify the hd claim (if applicable) by examining the object that verify_oauth2_token returns. If multiple clients access the backend server, also manually verify the aud claim.

  3. Sau khi xác nhận tính hợp lệ của mã thông báo, bạn có thể sử dụng thông tin trong mã thông báo nhận dạng của Google để liên kết trạng thái tài khoản của trang web:

    • Người dùng chưa đăng ký: Bạn có thể hiển thị giao diện người dùng (UI) đăng ký cho phép người dùng cung cấp thêm thông tin hồ sơ, nếu cần. Phương thức này cũng cho phép người dùng tạo tài khoản mới và phiên người dùng đã đăng nhập một cách thầm lặng.

    • Tài khoản hiện có trong trang web của bạn: Bạn có thể hiển thị một trang web cho phép người dùng cuối nhập mật khẩu và liên kết tài khoản cũ với thông tin xác thực của họ trên Google. Điều này xác nhận rằng người dùng có quyền truy cập vào tài khoản hiện có.

    • Người dùng liên kết cũ: Bạn có thể đăng nhập người dùng mà không cần xác thực.