Cấp phép cho web

Ứng dụng web phải lấy mã truy cập để gọi API Google một cách an toàn.

Thư viện JavaScript của Dịch vụ nhận dạng của Google hỗ trợ cả việc xác thực thông tin đăng nhập của người dùng và việc uỷ quyền để lấy mã truy cập để sử dụng với các API của Google. Thư viện này chỉ dành để sử dụng trong các trình duyệt.

Xác thực xác định danh tính của một người và thường được gọi là hoạt động đăng ký hoặc đăng nhập của người dùng. Uỷ quyền là quá trình cấp hoặc từ chối quyền truy cập vào dữ liệu hoặc tài nguyên. Quy trình này bao gồm việc thu thập và quản lý sự đồng ý của người dùng, giới hạn lượng dữ liệu hoặc tài nguyên được chia sẻ cùng với phạm vi và truy xuất mã truy cập để sử dụng với các API của Google.

Những hướng dẫn này đề cập đến các chủ đề về việc uỷ quyền và chia sẻ dữ liệu.

Cách hoạt động của tính năng uỷ quyền người dùng mô tả chi tiết từng bước trong quy trình uỷ quyền người dùng và bao gồm cả các ví dụ về hộp thoại người dùng.

Nếu bạn đang cần trợ giúp về việc xác thực và cách triển khai tính năng đăng ký và đăng nhập của người dùng, hãy xem phần Đăng nhập bằng Google.

Thư viện này không dành cho mục đích sử dụng với các khung JavaScript phía máy chủ như Node.js, thay vào đó, hãy sử dụng thư viện ứng dụng Node.js của Google.

Những điểm thay đổi

Đối với người dùng, thư viện Dịch vụ nhận dạng của Google cung cấp nhiều điểm cải tiến về khả năng hữu dụng so với các thư viện JavaScript trước đây, bao gồm:

  • Xác thực người dùng đăng nhập và uỷ quyền lấy mã truy cập để gọi API Google hiện có hai luồng người dùng riêng biệt; một luồng cho đăng nhập và một luồng cho sự đồng ý trong quá trình cho phép, với các luồng người dùng riêng biệt để phân biệt rõ ràng bạn là ai với những việc ứng dụng có thể làm.
  • Cải thiện khả năng hiển thị và khả năng kiểm soát chi tiết đối với việc chia sẻ dữ liệu trong quá trình đồng ý của người dùng.
  • Hộp thoại bật lên dựa trên trình duyệt giúp giảm sự phiền hà và không yêu cầu người dùng phải rời khỏi trang web của bạn để:
    • lấy mã truy cập của Google, hoặc
    • gửi mã uỷ quyền đến nền tảng phụ trợ của bạn.

Đối với các nhà phát triển, trọng tâm của chúng tôi là giảm độ phức tạp, cải thiện khả năng bảo mật cũng như thực hiện quá trình tích hợp nhanh chóng và dễ dàng nhất có thể. Một số thay đổi đó là:

  • Quy trình xác thực người dùng để đăng nhập và uỷ quyền dùng để lấy mã truy cập để gọi API Google (là hai tập hợp đối tượng JavaScript và phương thức riêng biệt và riêng biệt). Điều này làm giảm sự phức tạp và lượng chi tiết cần thiết để triển khai quy trình xác thực hoặc uỷ quyền.
  • Một thư viện JavaScript duy nhất hiện hỗ trợ cả:
    • Luồng ngầm ẩn OAuth 2.0, dùng để lấy mã truy cập để sử dụng trong trình duyệt
    • Quy trình mã uỷ quyền OAuth 2.0 (còn gọi là truy cập ngoại tuyến) sẽ bắt đầu phân phối mã uỷ quyền đến nền tảng phụ trợ một cách an toàn. Tại đây, bạn có thể đổi mã đó lấy mã truy cập và mã thông báo làm mới. Trước đây, các quy trình này chỉ có sẵn bằng cách sử dụng nhiều thư viện và thông qua các lệnh gọi trực tiếp đến điểm cuối OAuth 2.0. Một thư viện duy nhất giúp bạn giảm thời gian và công sức tích hợp. Thay vì đưa vào và tìm hiểu nhiều thư viện cũng như các khái niệm về OAuth 2.0, bạn có thể tập trung vào một giao diện hợp nhất duy nhất.
  • Chúng tôi đã xoá lệnh chuyển hướng thông qua các hàm kiểu phương thức getter để đơn giản và dễ đọc hơn.
  • Khi xử lý các phản hồi uỷ quyền, bạn chọn sử dụng Promise để thực hiện yêu cầu hay không, thay vì quyết định đó.
  • Thư viện ứng dụng Google API cho JavaScript đã được cập nhật với những thay đổi sau:
    • mô-đun gapi.auth2 cũng như các đối tượng và phương thức liên kết không còn tự động được tải ngầm cho bạn mà đã được thay thế bằng các đối tượng và phương thức thư viện Dịch vụ nhận dạng của Google rõ ràng hơn.
    • Chúng tôi đã xoá tính năng tự động làm mới mã truy cập đã hết hạn để nâng cao khả năng bảo mật và nhận biết của người dùng. Sau khi mã truy cập hết hạn, ứng dụng của bạn phải xử lý các phản hồi lỗi API của Google, yêu cầu và nhận mã truy cập mới, hợp lệ.
    • Để hỗ trợ phân tách rõ ràng các thời điểm xác thực và uỷ quyền, chúng tôi sẽ ngừng hỗ trợ việc đăng nhập đồng thời người dùng vào ứng dụng và Tài khoản Google của họ, đồng thời cấp mã truy cập. Trước đây, việc yêu cầu mã truy cập cũng đã đăng nhập người dùng vào Tài khoản Google của họ và trả về thông tin xác thực mã thông báo mã truy cập JWT để xác thực người dùng.
  • Nhằm tăng tính bảo mật và quyền riêng tư của người dùng, thông tin xác thực của mỗi người dùng được cấp để được uỷ quyền phải tuân theo nguyên tắc về đặc quyền tối thiểu bằng cách chỉ cung cấp một mã truy cập và thông tin cần thiết để quản lý mã đó.