Für das Web autorisieren

Webanwendungen müssen ein Zugriffstoken abrufen, um Google APIs sicher aufzurufen.

Die JavaScript-Bibliothek von Google Identity Services unterstützt sowohl die Authentifizierung für die Nutzeranmeldung als auch die Autorisierung zum Abrufen eines Zugriffstokens für die Verwendung mit Google APIs. Die Bibliothek ist nur für die Verwendung in Browsern vorgesehen.

Mit der Authentifizierung wird ermittelt, wer eine Person ist. Sie wird häufig als Nutzeranmeldung oder -anmeldung bezeichnet. Autorisierung ist der Vorgang, bei dem Sie Zugriff auf Daten oder Ressourcen gewähren oder ablehnen. Sie können damit die Nutzereinwilligung abrufen und verwalten, die mit Bereichen freigegebene Daten oder Ressourcen begrenzen und ein Zugriffstoken für die Verwendung mit Google APIs abrufen.

In diesen Leitfäden werden Themen wie Autorisierung und Datenfreigabe behandelt.

Unter Funktionsweise der Nutzerautorisierung werden die einzelnen Schritte der Nutzerautorisierung detailliert beschrieben und Beispiele für Nutzerdialoge angezeigt.

Hilfe zur Authentifizierung und zur Implementierung der Nutzerregistrierung und -anmeldung finden Sie unter Über Google anmelden.

Diese Bibliothek ist nicht für die Verwendung mit serverseitigen JavaScript-Frameworks wie Node.js vorgesehen. Verwenden Sie stattdessen die Node.js-Clientbibliothek von Google.

Was hat sich geändert?

Für Nutzer bietet die Google Identity Services-Bibliothek zahlreiche Verbesserungen gegenüber früheren JavaScript-Bibliotheken, darunter:

  • Für die Authentifizierung für die Nutzeranmeldung und die Autorisierung zum Abrufen eines Zugriffstokens für den Aufruf von Google APIs gibt es jetzt zwei separate und separate Nutzerflüsse: einen für die Anmeldung und einen weiteren für die Einwilligung während der Autorisierung. Dabei werden Nutzer Abläufe unterschieden, damit Sie klar unterscheiden können, was eine Anwendung tun kann.
  • Verbesserte Sichtbarkeit und detaillierte Kontrolle über die Datenfreigabe während der Nutzereinwilligung.
  • Browserbasierte Pop-up-Dialogfelder reduzieren Reibungspunkte und erfordern nicht, dass Nutzer die Website verlassen müssen:
    • ein Zugriffstoken von Google zu erhalten oder
    • einen Autorisierungscode an die Back-End-Plattform senden.

Für Entwickler haben wir uns darauf konzentriert, die Komplexität zu reduzieren, die Sicherheit zu verbessern und die Integration so schnell und einfach wie möglich zu gestalten. Hier einige der Änderungen:

  • Die Nutzerauthentifizierung für die Anmeldung und die Autorisierung, mit denen ein Zugriffstoken zum Aufrufen von Google APIs abgerufen wird, sind zwei separate JavaScript-Objekte und -Methoden. Dadurch werden die Komplexität und der Detaillierungsgrad reduziert, die für die Implementierung der Authentifizierung oder Autorisierung erforderlich sind.
  • Eine einzelne JavaScript-Bibliothek unterstützt jetzt Folgendes:
    • Implizierter OAuth 2.0-Vorgang, um ein Zugriffstoken für die Verwendung im Browser abzurufen
    • OAuth 2.0-Vorgang mit Autorisierungscode, auch als Offlinezugriff bezeichnet. Er initiiert die sichere Übermittlung eines Autorisierungscodes an Ihre Back-End-Plattform, wo er gegen ein Zugriffstoken und ein Aktualisierungstoken eingetauscht werden kann. Bisher waren diese Abläufe nur über mehrere Bibliotheken und durch direkte Aufrufe an OAuth 2.0-Endpunkte verfügbar. Mit einer einzigen Bibliothek sparen Sie Zeit und Aufwand, statt mehrere Bibliotheken und OAuth 2.0-Konzepte einzubeziehen und sich auf eine einzige, einheitliche Benutzeroberfläche zu konzentrieren.
  • Die Richtung über Getter-Stilfunktionen wurde entfernt, um sie einfacher und besser lesbar zu machen.
  • Bei der Verarbeitung von Autorisierungsantworten wählen Sie aus, ob ein Promise zur Ausführung von Anfragen verwendet werden soll, anstatt diese Entscheidung zu treffen.
  • Die Google API-Clientbibliothek für JavaScript wurde mit diesen Änderungen aktualisiert:
    • Das Modul gapi.auth2 sowie die zugehörigen Objekte und Methoden werden im Hintergrund nicht mehr automatisch geladen und durch explizitere Objekte und Methoden der Google Identity Services-Bibliothek ersetzt.
    • Die automatische Aktualisierung abgelaufener Zugriffstokens wurde entfernt, um die Sicherheit und Bekanntheit der Nutzer zu verbessern. Nach Ablauf eines Zugriffstokens muss Ihre Anwendung Google API-Fehlerantworten verarbeiten und ein neues, gültiges Zugriffstoken anfordern und abrufen.
    • Damit Authentifizierungs- und Autorisierungsmomente klar voneinander getrennt sind, wird die gleichzeitige Anmeldung eines Nutzers in Ihrer App und in seinem Google-Konto sowie die Ausstellung eines Zugriffstokens nicht mehr unterstützt. Bisher haben Nutzer, die ein Zugriffstoken angefordert haben, auch ihr Google-Konto angemeldet und Anmeldedaten für ein JWT-ID-Token für die Nutzerauthentifizierung zurückgegeben.
  • Um die Sicherheit und den Datenschutz der Nutzer zu erhöhen, befolgen die für die Autorisierung ausgestellten Anmeldedaten gemäß dem Prinzip der geringsten Berechtigung nur ein Zugriffstoken und Informationen, die für dessen Verwaltung erforderlich sind.