Autorizzazione per il Web

Le app web devono ottenere un token di accesso per chiamare in modo sicuro le API di Google.

La libreria JavaScript dei Servizi di identità Google supporta sia l'autenticazione per l'accesso degli utenti sia l'autorizzazione per ottenere un token di accesso da utilizzare con le API di Google. La libreria è destinata esclusivamente all'uso nei browser.

L'autenticazione stabilisce l'identità di una persona e viene comunemente definita registrazione o accesso utente. L'autorizzazione è il processo di concessione o rifiuto dell'accesso a dati o risorse. Ciò include l'ottenimento e la gestione del consenso dell'utente, la limitazione della quantità di dati o risorse condivise con gli ambiti e il recupero di un token di accesso da utilizzare con le API di Google.

Queste guide trattano argomenti relativi all'autorizzazione e alla condivisione dei dati.

Come funziona l'autorizzazione utente descrive in dettaglio i singoli passaggi dell'autorizzazione utente e include esempi di finestre di dialogo utente.

Se hai bisogno di assistenza per l'autenticazione e l'implementazione della registrazione e dell'accesso degli utenti, consulta la sezione Accedi con Google.

Questa libreria non è pensata per l'utilizzo con framework JavaScript lato server come Node.js. Utilizza invece la libreria client Node.js di Google.

Che cosa è cambiato

Per gli utenti, la libreria Servizi di identità Google offre numerosi miglioramenti dell'usabilità rispetto alle precedenti librerie JavaScript, tra cui:

  • L'autenticazione per l'accesso degli utenti e l'autorizzazione per ottenere un token di accesso per chiamare le API di Google ora hanno due flussi utente separati e distinti: uno per l'accesso e un altro per il consenso durante l'autorizzazione, con flussi utente separati per distinguere chiaramente chi sei da ciò che un'app può fare.
  • Maggiore visibilità e controllo granulare della condivisione dei dati durante il consenso dell'utente.
  • Finestre di dialogo basate sul browser per ridurre l'attrito e che non richiedono agli utenti di uscire dal tuo sito per:
    • ottenere un token di accesso da Google oppure
    • invia un codice di autorizzazione alla tua piattaforma di backend.

Per gli sviluppatori, il nostro obiettivo è stato ridurre la complessità, migliorare la sicurezza e semplificare l'integrazione. Alcune di queste modifiche sono:

  • L'autenticazione utente per l'accesso e l'autorizzazione utilizzata per ottenere un token di accesso per chiamare le API di Google sono due insiemi separati e distinti di oggetti e metodi JavaScript. In questo modo si riducono la complessità e la quantità di dettagli necessari per implementare l'autenticazione o l'autorizzazione.
  • Una singola libreria JavaScript ora supporta sia:
    • Flusso implicito OAuth 2.0, utilizzato per ottenere un token di accesso da utilizzare nel browser
    • Il flusso del codice di autorizzazione OAuth 2.0, noto anche come accesso offline, avvia la distribuzione sicura di un codice di autorizzazione alla tua piattaforma backend, dove può essere scambiato con un token di accesso e un token di aggiornamento. In precedenza, questi flussi erano disponibili solo utilizzando più librerie e tramite chiamate dirette agli endpoint OAuth 2.0. Una singola libreria riduce i tempi e l'impegno per l'integrazione. Invece di includere e imparare più librerie e concetti di OAuth 2.0, puoi concentrarti su un'unica interfaccia unificata.
  • L'indirezione tramite funzioni di tipo getter è stata rimossa per semplicità e leggibilità.
  • Quando gestisci le risposte di autorizzazione, scegli se utilizzare o meno una promessa per soddisfare le richieste, anziché lasciare che la decisione venga presa per te.
  • La libreria client delle API di Google per JavaScript è stata aggiornata con le seguenti modifiche:
    • il modulo gapi.auth2 e gli oggetti e i metodi associati non vengono più caricati automaticamente in background e sono stati sostituiti con oggetti e metodi della libreria dei Servizi di identità Google più espliciti.
    • L'aggiornamento automatico dei token di accesso scaduti è stato rimosso per migliorare la sicurezza e la consapevolezza degli utenti. Dopo la scadenza di un token di accesso, la tua app deve gestire le risposte di errore dell'API Google, richiedere e ottenere un nuovo token di accesso valido.
    • Per supportare una chiara separazione dei momenti di autenticazione e autorizzazione, l'accesso simultaneo di un utente alla tua app e al suo Account Google durante l'emissione di un token di accesso non è più supportato. In precedenza, la richiesta di un token di accesso consentiva anche agli utenti di accedere al proprio Account Google e restituiva una credenziale token ID JWT per l'autenticazione dell'utente.
  • Per aumentare la sicurezza e la privacy degli utenti, le credenziali per utente emesse per l'autorizzazione seguono il principio del privilegio minimo includendo solo un token di accesso e le informazioni necessarie per gestirlo.