Cấp phép cho web

Ứng dụng web phải có mã truy cập để gọi API của Google một cách an toàn.

Thư viện JavaScript Dịch vụ nhận dạng của Google hỗ trợ cả quá trình xác thực, cho phép người dùng đăng nhập và lấy mã truy cập để sử dụng với các API của Google. Thư viện này chỉ dành cho mục đích sử dụng trong trình duyệt.

Xác thực thiết lập ai đó và thường được gọi là đăng ký hoặc đăng nhập của người dùng. Uỷ quyền là quá trình cấp hoặc từ chối quyền truy cập vào dữ liệu hoặc tài nguyên. Phương thức này bao gồm việc thu thập và quản lý sự đồng ý của người dùng, giới hạn lượng dữ liệu hoặc tài nguyên được chia sẻ với phạm vi, và truy xuất mã truy cập để sử dụng với các API của Google.

Hướng dẫn này trình bày các chủ đề về ủy quyền và chia sẻ dữ liệu.

Cách hoạt động của việc uỷ quyền người dùng mô tả chi tiết từng bước uỷ quyền người dùng và bao gồm các ví dụ về hộp thoại người dùng.

Nếu bạn đang cần trợ giúp về việc xác thực cũng như cách triển khai tính năng đăng nhập và đăng nhập cho người dùng, hãy xem phần Đăng nhập bằng Google.

Thư viện này không dùng cho khung JavaScript phía máy chủ, chẳng hạn như Node.js, thay vào đó, hãy sử dụng thư viện ứng dụng Node.js của Google.

Nội dung thay đổi

Đối với người dùng, thư viện Dịch vụ nhận dạng của Google cung cấp nhiều điểm cải tiến về khả năng hữu dụng so với các thư viện JavaScript trước đây, bao gồm:

  • Tính năng xác thực đăng nhập của người dùng và ủy quyền để lấy mã truy cập cho việc gọi API Google hiện đã có hai luồng người dùng riêng biệt và khác nhau; một luồng dùng để đăng nhập và một luồng khác dành cho sự đồng ý trong quá trình ủy quyền. Luồng người dùng riêng biệt để phân biệt rõ ràng bạn là ai và những gì ứng dụng có thể làm.
  • Cải thiện khả năng giám sát và kiểm soát chặt chẽ việc chia sẻ dữ liệu trong sự đồng ý của người dùng.
  • Hộp thoại bật lên dựa trên trình duyệt để giảm phiền hà và không yêu cầu người dùng rời khỏi trang web để:
    • lấy mã truy cập từ Google, hoặc
    • gửi mã uỷ quyền đến nền tảng phụ trợ của bạn.

Đối với nhà phát triển, chúng tôi tập trung vào việc giảm bớt sự phức tạp, cải thiện tính bảo mật và giúp việc tích hợp của bạn diễn ra nhanh chóng và dễ dàng nhất có thể. Một số thay đổi này là:

  • Xác thực người dùng để đăng nhập và uỷ quyền dùng để nhận mã truy cập để gọi API của Google, là hai tập hợp đối tượng và phương thức JavaScript riêng biệt và riêng biệt. Điều này giúp giảm độ phức tạp và lượng thông tin chi tiết cần thiết để triển khai quá trình xác thực hoặc cấp phép.
  • Thư viện JavaScript đơn lẻ hiện hỗ trợ cả:
    • Quy trình ngầm ẩn OAuth 2.0, được dùng để lấy mã truy cập để sử dụng trong trình duyệt
    • Luồng mã uỷ quyền OAuth 2.0, còn được gọi là truy cập ngoại tuyến, và bắt đầu gửi mã uỷ quyền một cách an toàn tới nền tảng phụ trợ của bạn, để trao đổi mã truy cập và mã làm mới. Trước đây, các quy trình này chỉ có sẵn bằng cách sử dụng nhiều thư viện và thông qua các lệnh gọi trực tiếp đến điểm cuối OAuth 2.0. Một thư viện giúp giảm thời gian và công sức tích hợp của bạn, thay vì bao gồm và tìm hiểu nhiều thư viện và khái niệm OAuth 2.0, bạn có thể tập trung vào một giao diện hợp nhất.
  • Hướng dẫn thông qua các hàm getter đã bị xoá để đơn giản và dễ đọc.
  • Khi xử lý các phản hồi ủy quyền, bạn chọn xem có sử dụng Lời hứa hay không để thực hiện các yêu cầu, thay vì đưa ra quyết định đó cho bạn.
  • Thư viện ứng dụng JavaScript cho Google API đã được cập nhật với những thay đổi sau:
    • mô-đun gapi.auth2 cũng như các đối tượng và phương thức liên kết không còn được tự động tải cho bạn trong hậu trường, và đã được thay thế bằng các đối tượng và phương thức thư viện Dịch vụ nhận dạng rõ ràng hơn.
    • Tính năng tự động làm mới mã thông báo truy cập đã hết hạn đã bị xoá để cải thiện mức độ nhận biết và bảo mật của người dùng. Sau khi mã truy cập hết hạn, ứng dụng của bạn phải xử lý các phản hồi lỗi API, yêu cầu và lấy mã truy cập hợp lệ mới.
    • Để hỗ trợ việc tách biệt các khoảnh khắc xác thực và uỷ quyền, việc đồng thời đăng nhập người dùng vào ứng dụng và Tài khoản Google của họ cũng như không phát hành mã truy cập nữa. Trước đây, việc yêu cầu mã thông báo truy cập cũng đã đăng nhập người dùng vào Tài khoản Google của họ và trả về thông tin xác thực mã thông báo JWT để xác thực người dùng.
  • Để tăng cường tính bảo mật và quyền riêng tư cho người dùng, mỗi thông tin xác thực của người dùng được cấp phép sẽ tuân theo nguyên tắc về đặc quyền tối thiểu bằng cách chỉ bao gồm mã truy cập và thông tin cần thiết để quản lý thông tin đó.