Autoriser pour le Web

Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Les applications Web doivent obtenir un jeton d'accès pour appeler les API Google de manière sécurisée.

La bibliothèque JavaScript Google Identity Services permet à la fois l'authentification pour la connexion des utilisateurs et l'autorisation d'obtenir un jeton d'accès à utiliser avec les API Google. La bibliothèque est destinée à être utilisée uniquement dans les navigateurs.

L'authentification permet d'identifier une personne et est généralement appelée "inscription" ou "connexion". L'autorisation est le processus qui consiste à accorder ou à refuser l'accès aux données ou aux ressources. Il comprend l'obtention et la gestion du consentement de l'utilisateur, la limitation de la quantité de données ou de ressources partagées avec les champs d'application, ainsi que la récupération d'un jeton d'accès à utiliser avec les API Google.

Ces guides abordent les sujets liés aux autorisations et au partage de données.

La page Fonctionnement de l'autorisation des utilisateurs décrit chaque étape de cette autorisation et inclut des exemples de boîtes de dialogue utilisateur.

Si vous avez besoin d'aide concernant l'authentification et comment mettre en œuvre l'inscription et la connexion des utilisateurs, consultez la page Se connecter avec Google.

Cette bibliothèque n'est pas destinée à être utilisée avec des frameworks JavaScript côté serveur tels que Node.js. Utilisez plutôt la bibliothèque cliente Node.js de Google.

Nouveautés

Pour les utilisateurs, la bibliothèque Google Identity Services offre de nombreuses améliorations en termes de facilité d'utilisation par rapport aux bibliothèques JavaScript précédentes, y compris:

  • L'authentification pour la connexion de l'utilisateur et l'autorisation d'obtenir un jeton d'accès permettant d'appeler les API Google ont désormais deux parcours utilisateur distincts et distincts : l'un pour la connexion et l'autre pour le consentement lors de l'autorisation. Des parcours utilisateur distincts permettent de distinguer clairement votre identité de ce qu'une application peut faire.
  • Amélioration de la visibilité et contrôle précis du partage des données pendant le consentement de l'utilisateur.
  • Boîtes de dialogue pop-up dans le navigateur pour plus de fluidité et ne nécessitant pas que les utilisateurs quittent votre site :
    • obtenir un jeton d'accès auprès de Google ;
    • envoyer un code d'autorisation à votre plate-forme backend.

Notre objectif a été de simplifier les développeurs, d'améliorer leur sécurité et de rendre votre intégration aussi rapide et facile que possible. Voici quelques-unes de ces modifications:

  • L'authentification par l'utilisateur pour la connexion et l'autorisation permettant d'obtenir un jeton d'accès permettant d'appeler les API Google sont deux ensembles distincts et distincts d'objets et de méthodes JavaScript. Cela réduit la complexité et la quantité de détails nécessaires à la mise en œuvre de l'authentification ou de l'autorisation.
  • Une seule bibliothèque JavaScript est désormais compatible avec les éléments suivants :
    • Flux implicite OAuth 2.0 permettant d'obtenir un jeton d'accès pour une utilisation dans le navigateur
    • Le flux de code d'autorisation OAuth 2.0 (également appelé accès hors connexion) permet de transmettre de manière sécurisée un code d'autorisation à votre plate-forme de backend, qui peut être échangé contre un jeton d'accès et un jeton d'actualisation. Auparavant, ces flux n'étaient disponibles qu'en utilisant plusieurs bibliothèques et via des appels directs aux points de terminaison OAuth 2.0. Une seule bibliothèque permet de réduire le temps et les efforts nécessaires à l'intégration, plutôt que d'inclure et d'apprendre plusieurs concepts et concepts OAuth 2.0. Vous pouvez ainsi vous concentrer sur une seule interface unifiée.
  • Les instructions de type "getter" ont été supprimées pour plus de simplicité et de lisibilité.
  • Lorsque vous traitez les réponses d'autorisation, vous choisissez d'utiliser ou non une promesse pour traiter les requêtes, au lieu de prendre cette décision.
  • La bibliothèque cliente des API Google pour JavaScript a été mise à jour avec les modifications suivantes :
    • Le module gapi.auth2 ainsi que les objets et les méthodes associés ne sont plus chargés automatiquement en arrière-plan. Ils ont été remplacés par des objets et des méthodes plus rapides de la bibliothèque Google Identity Services.
    • L'actualisation automatique des jetons d'accès expirés a été supprimée pour améliorer la sécurité et la notoriété des utilisateurs. Une fois qu'un jeton d'accès a expiré, votre application doit gérer les réponses d'erreur des API Google, demander et obtenir un nouveau jeton d'accès valide.
    • Pour permettre une séparation claire des moments d'authentification et d'autorisation, il n'est plus possible de connecter simultanément un utilisateur à votre application et à son compte Google tout en émettant un jeton d'accès. Auparavant, la demande de jeton d'accès signait également les utilisateurs à leur compte Google et renvoyait des identifiants de jeton d'ID JWT pour l'authentification des utilisateurs.
  • Afin d'améliorer la sécurité et la confidentialité des utilisateurs, selon le droit d'accès délivré par les utilisateurs pour l'autorisation, nous appliquons le principe du moindre privilège en n'incluant qu'un jeton d'accès et les informations nécessaires pour le gérer.