เว็บแอปต้องรับโทเค็นเพื่อการเข้าถึงเพื่อเรียก Google API อย่างปลอดภัย
ไลบรารี JavaScript ของ Google Identity Services รองรับทั้งการตรวจสอบสิทธิ์สำหรับการลงชื่อเข้าใช้ของผู้ใช้และการให้สิทธิ์เพื่อรับโทเค็นเพื่อการเข้าถึงสำหรับใช้กับ Google API โดยไลบรารีนี้มีไว้สำหรับใช้ในเบราว์เซอร์เท่านั้น
การตรวจสอบสิทธิ์จะระบุตัวตนของบุคคล และมักเรียกว่าการลงชื่อสมัครใช้หรือลงชื่อเข้าใช้ของผู้ใช้ การให้สิทธิ์คือกระบวนการให้หรือปฏิเสธการเข้าถึงข้อมูลหรือทรัพยากร ซึ่งรวมถึงการรับและการจัดการความยินยอมของผู้ใช้ การจำกัดจำนวนข้อมูลหรือทรัพยากรที่แชร์กับขอบเขต และการดึงโทเค็นเพื่อการเข้าถึงสำหรับใช้กับ Google API
คำแนะนำเหล่านี้ครอบคลุมหัวข้อการให้สิทธิ์และการแชร์ข้อมูล
วิธีทำงานของการให้สิทธิ์แก่ผู้ใช้จะอธิบายขั้นตอนแต่ละขั้นตอนของการให้สิทธิ์แก่ผู้ใช้ อย่างละเอียดและมีตัวอย่างกล่องโต้ตอบของผู้ใช้
หากต้องการความช่วยเหลือเกี่ยวกับการตรวจสอบสิทธิ์และวิธีลงชื่อสมัครใช้และลงชื่อเข้าใช้ของผู้ใช้ โปรดดูหัวข้อลงชื่อเข้าใช้ด้วย Google
มีอะไรเปลี่ยนแปลงบ้าง
สำหรับผู้ใช้ ไลบรารี Google Identity Services มีการปรับปรุงการใช้งานมากมายเมื่อเทียบกับไลบรารี JavaScript ก่อนหน้านี้ ซึ่งรวมถึงสิ่งต่อไปนี้
- การตรวจสอบสิทธิ์สำหรับการลงชื่อเข้าใช้ของผู้ใช้และการให้สิทธิ์เพื่อรับโทเค็นเพื่อการเข้าถึง เพื่อเรียก Google API ตอนนี้มีขั้นตอนของผู้ใช้ 2 ขั้นตอนที่แยกกันและแตกต่างกัน โดยขั้นตอนหนึ่งสำหรับ การลงชื่อเข้าใช้ และอีกขั้นตอนหนึ่งสำหรับ ความยินยอม ระหว่างการให้สิทธิ์ พร้อมขั้นตอนของผู้ใช้ที่แยกกัน เพื่อแยกความแตกต่างอย่างชัดเจนระหว่างตัวคุณกับสิ่งที่แอปทำได้
- การมองเห็นและการควบคุมการแชร์ข้อมูลแบบละเอียดระหว่างความยินยอมของผู้ใช้ ได้รับการปรับปรุง
- กล่องโต้ตอบที่อิงตามเบราว์เซอร์เพื่อลดอุปสรรคและไม่กำหนดให้ผู้ใช้ออกจากเว็บไซต์ของคุณเพื่อดำเนินการต่อไปนี้
- รับโทเค็นเพื่อการเข้าถึงจาก Google หรือ
- ส่งรหัสการให้สิทธิ์ไปยังแพลตฟอร์มแบ็กเอนด์
สำหรับนักพัฒนาแอป เรามุ่งเน้นที่การลดความซับซ้อน ปรับปรุงความปลอดภัย และทำให้การผสานรวมง่ายขึ้น การเปลี่ยนแปลงบางอย่างมีดังนี้
- การตรวจสอบสิทธิ์ผู้ใช้สำหรับการลงชื่อเข้าใช้ และการให้สิทธิ์ที่ใช้เพื่อรับ โทเค็นเพื่อการเข้าถึงเพื่อเรียก Google API เป็นออบเจ็กต์และเมธอด JavaScript 2 ชุดที่แยกกันและแตกต่างกัน ซึ่งจะช่วยลดความซับซ้อนและรายละเอียดที่จำเป็นในการตรวจสอบสิทธิ์หรือการให้สิทธิ์
- ตอนนี้ไลบรารี JavaScript เดียวรองรับทั้ง
- ขั้นตอนการให้สิทธิ์โดยนัยของ OAuth 2.0 ซึ่งใช้เพื่อรับโทเค็นเพื่อการเข้าถึงสำหรับใช้ในเบราว์เซอร์
- ขั้นตอนรหัสการให้สิทธิ์ของ OAuth 2.0 หรือที่เรียกว่าการเข้าถึงแบบออฟไลน์ และเริ่มส่งรหัสการให้สิทธิ์ไปยังแพลตฟอร์มแบ็กเอนด์อย่างปลอดภัย ซึ่งสามารถแลกเป็นโทเค็นเพื่อการเข้าถึงและโทเค็นการรีเฟรชได้ ก่อนหน้านี้ ขั้นตอนเหล่านี้ใช้ได้โดยใช้ไลบรารีหลายรายการและผ่านการเรียกปลายทาง OAuth 2.0 โดยตรงเท่านั้น ไลบรารีเดียวช่วยลดเวลาและความพยายามในการผสานรวม แทนที่จะรวมและเรียนรู้ไลบรารีหลายรายการและแนวคิด OAuth 2.0 คุณสามารถมุ่งเน้นไปที่อินเทอร์เฟซเดียวที่รวมเป็นหนึ่งเดียว
- การอ้างอิงผ่านฟังก์ชันสไตล์ Getter ถูกนำออกเพื่อความเรียบง่ายและความสามารถในการอ่าน
- เมื่อจัดการการตอบกลับการให้สิทธิ์ คุณสามารถเลือกว่าจะใช้ Promise เพื่อดำเนินการตามคำขอหรือไม่ แทนที่จะให้ระบบตัดสินใจ แทนคุณ
- ไลบรารีของไคลเอ็นต์ Google API สำหรับ JavaScript ได้รับการ
อัปเดตด้วยการเปลี่ยนแปลงต่อไปนี้
- โมดูล
gapi.auth2รวมถึงออบเจ็กต์และเมธอดที่เกี่ยวข้องจะไม่โหลดโดยอัตโนมัติเบื้องหลังอีกต่อไป และถูกแทนที่ด้วยออบเจ็กต์และเมธอดของไลบรารี Google Identity Services ที่ชัดเจนยิ่งขึ้น - การรีเฟรชโทเค็นเพื่อการเข้าถึงที่หมดอายุโดยอัตโนมัติถูกนำออกเพื่อปรับปรุงความปลอดภัยและความตระหนักของผู้ใช้ หลังจากโทเค็นเพื่อการเข้าถึงหมดอายุแล้ว แอปของคุณต้องจัดการการตอบกลับข้อผิดพลาดของ Google API, คำขอ และรับโทเค็นเพื่อการเข้าถึงใหม่ที่ถูกต้อง
- ระบบไม่รองรับการลงชื่อเข้าใช้แอปและบัญชี Google ของผู้ใช้พร้อมกันขณะออกโทเค็นเพื่อการเข้าถึงอีกต่อไป เพื่อรองรับการแยกช่วงเวลาการตรวจสอบสิทธิ์และการให้สิทธิ์อย่างชัดเจน ก่อนหน้านี้ การขอโทเค็นเพื่อการเข้าถึงจะลงชื่อเข้าใช้บัญชี Google ของผู้ใช้ด้วย และส่งคืนข้อมูลเข้าสู่ระบบโทเค็นรหัส JWT สำหรับการตรวจสอบสิทธิ์ผู้ใช้
- โมดูล
- เพื่อเพิ่มความปลอดภัยและความเป็นส่วนตัวของผู้ใช้ ข้อมูลเข้าสู่ระบบต่อผู้ใช้ที่ออกให้สำหรับการให้สิทธิ์จะเป็นไปตามหลักการให้สิทธิ์น้อยที่สุดโดยรวมเฉพาะโทเค็นเพื่อการเข้าถึงและข้อมูลที่จำเป็นในการจัดการโทเค็นดังกล่าว