ตรวจสอบสิทธิ์ด้วยแบ็กเอนด์โดยใช้โทเค็นรหัส

ไคลเอ็นต์การลงชื่อเข้าใช้ด้วย One Tap จะดึงโทเค็น Google ID เมื่อผู้ใช้เลือกบัญชี Google โทเค็นรหัสคือการยืนยันข้อมูลประจำตัวของผู้ใช้ที่ลงชื่อและมีข้อมูลโปรไฟล์พื้นฐานของผู้ใช้ด้วย ซึ่งอาจรวมถึงที่อยู่อีเมลที่ Google ยืนยันแล้ว

เมื่อมีโทเค็นรหัสแล้ว คุณจะใช้โทเค็นรหัสนี้เพื่อตรวจสอบสิทธิ์กับแบ็กเอนด์ของแอปได้อย่างปลอดภัย หรือลงชื่อสมัครใช้บัญชีใหม่ให้ผู้ใช้โดยอัตโนมัติได้โดยไม่ต้องยืนยันอีเมลของผู้ใช้

หากต้องการลงชื่อเข้าใช้หรือลงชื่อสมัครใช้ให้ผู้ใช้ด้วยโทเค็นรหัส ให้ส่งโทเค็นไปยังแบ็กเอนด์ของแอป บนแบ็กเอนด์ ให้ยืนยันโทเค็นโดยใช้ไลบรารีไคลเอ็นต์ Google API หรือไลบรารี JWT อเนกประสงค์ หากผู้ใช้ยังไม่เคยลงชื่อเข้าใช้แอปของคุณ ด้วยบัญชี Google นี้มาก่อน ให้สร้างบัญชีใหม่

หากคุณเลือกใช้ Nonce เพื่อช่วยหลีกเลี่ยงการโจมตีซ้ำ ให้ใช้ getNonce เพื่อส่งค่าพร้อมกับโทเค็นรหัสไปยังเซิร์ฟเวอร์แบ็กเอนด์ และตรวจหาค่าที่คาดไว้ เราขอแนะนำให้คุณพิจารณาใช้ Nonce เพื่อปรับปรุงความปลอดภัยและการรักษาความปลอดภัยของผู้ใช้

รับโทเค็นรหัสจากออบเจ็กต์ข้อมูลเข้าสู่ระบบ

หลังจากที่เรียกข้อมูลเข้าสู่ระบบของผู้ใช้แล้ว ให้ตรวจสอบว่าออบเจ็กต์ข้อมูลเข้าสู่ระบบมีโทเค็นรหัสหรือไม่ หากได้รับ ให้ส่งไฟล์ไปยังแบ็กเอนด์ของคุณ

public class YourActivity extends AppCompatActivity {

  // ...
  private static final int REQ_ONE_TAP = 2;  // Can be any integer unique to the Activity.
  private boolean showOneTapUI = true;
  // ...

  @Override
  protected void onActivityResult(int requestCode, int resultCode, @Nullable Intent data) {
      super.onActivityResult(requestCode, resultCode, data);

      switch (requestCode) {
          case REQ_ONE_TAP:
              try {
                  SignInCredential credential = oneTapClient.getSignInCredentialFromIntent(data);
                  String idToken = credential.getGoogleIdToken();
                  if (idToken !=  null) {
                      // Got an ID token from Google. Use it to authenticate
                      // with your backend.
                      Log.d(TAG, "Got ID token.");
                  }
              } catch (ApiException e) {
                  // ...
              }
              break;
      }
  }
}

class YourActivity : AppCompatActivity() {

    // ...
    private val REQ_ONE_TAP = 2  // Can be any integer unique to the Activity
    private var showOneTapUI = true
    // ...

    override fun onActivityResult(requestCode: Int, resultCode: Int, data: Intent?) {
        super.onActivityResult(requestCode, resultCode, data)

        when (requestCode) {
             REQ_ONE_TAP -> {
                try {
                    val credential = oneTapClient.getSignInCredentialFromIntent(data)
                    val idToken = credential.googleIdToken
                    when {
                        idToken != null -> {
                            // Got an ID token from Google. Use it to authenticate
                            // with your backend.
                            Log.d(TAG, "Got ID token.")
                        }
                        else -> {
                            // Shouldn't happen.
                            Log.d(TAG, "No ID token!")
                        }
                    }
                } catch (e: ApiException) {
                    // ...
            }
        }
    }
    // ...
}

ยืนยันความสมบูรณ์ของโทเค็นรหัส

หลังจากได้รับโทเค็นรหัสทาง HTTPS POST แล้ว คุณต้องยืนยันความสมบูรณ์ของโทเค็น

หากต้องการยืนยันว่าโทเค็นถูกต้อง ให้ตรวจสอบว่าโทเค็นเป็นไปตามเกณฑ์ต่อไปนี้

• Google รับรองโทเค็นรหัสอย่างถูกต้อง ใช้คีย์สาธารณะของ Google (มีให้บริการในรูปแบบ JWK หรือ PEM) เพื่อยืนยันลายเซ็นของโทเค็น ระบบจะหมุนเวียนคีย์เหล่านี้เป็นประจำ โปรดตรวจสอบส่วนหัว Cache-Control ในคำตอบเพื่อดูว่าคุณควรเรียกข้อมูลคีย์ดังกล่าวอีกครั้งเมื่อใด
• ค่าของ aud ในโทเค็นรหัสเท่ากับรหัสไคลเอ็นต์ของแอป การตรวจสอบนี้จำเป็นต่อการป้องกันไม่ให้มีการใช้โทเค็นรหัสที่ออกให้แอปที่เป็นอันตรายเพื่อเข้าถึงข้อมูลเกี่ยวกับผู้ใช้รายเดียวกันในเซิร์ฟเวอร์แบ็กเอนด์ของแอป
• ค่าของ iss ในโทเค็นรหัสเท่ากับ accounts.google.com หรือ https://accounts.google.com
• ยังไม่ผ่านเวลาหมดอายุ (exp) ของโทเค็นรหัส
• หากต้องการตรวจสอบว่าโทเค็นรหัสแสดงถึงบัญชี Google Workspace หรือ Cloud ขององค์กรหรือไม่ ให้ตรวจสอบการอ้างสิทธิ์ hd ซึ่งระบุโดเมนที่โฮสต์ของผู้ใช้ ซึ่งต้องใช้เมื่อจำกัดการเข้าถึงทรัพยากรไว้เฉพาะสมาชิกของบางโดเมนเท่านั้น การไม่มีการอ้างสิทธิ์นี้แสดงว่าบัญชีไม่ได้เป็นของโดเมนที่ Google โฮสต์

แทนที่จะเขียนโค้ดของคุณเองเพื่อดำเนินขั้นตอนการยืนยันเหล่านี้ เราขอแนะนำให้ใช้ไลบรารีของไคลเอ็นต์ Google API สำหรับแพลตฟอร์มของคุณ หรือใช้ไลบรารี JWT อเนกประสงค์แทน สำหรับการพัฒนาและการแก้ไขข้อบกพร่อง โปรดเรียกใช้ปลายทางการตรวจสอบ tokeninfo

การใช้ไลบรารีของไคลเอ็นต์ Google API

การใช้ไลบรารีของไคลเอ็นต์ Google API แบบใดแบบหนึ่ง (เช่น Java, Node.js, PHP, Python) เป็นวิธีที่แนะนำในการตรวจสอบโทเค็นรหัส Google ในสภาพแวดล้อมการใช้งานจริง

import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;

...

GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
    // Specify the CLIENT_ID of the app that accesses the backend:
    .setAudience(Collections.singletonList(CLIENT_ID))
    // Or, if multiple clients access the backend:
    //.setAudience(Arrays.asList(CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3))
    .build();

// (Receive idTokenString by HTTPS POST)

GoogleIdToken idToken = verifier.verify(idTokenString);
if (idToken != null) {
  Payload payload = idToken.getPayload();

  // Print user identifier
  String userId = payload.getSubject();
  System.out.println("User ID: " + userId);

  // Get profile information from payload
  String email = payload.getEmail();
  boolean emailVerified = Boolean.valueOf(payload.getEmailVerified());
  String name = (String) payload.get("name");
  String pictureUrl = (String) payload.get("picture");
  String locale = (String) payload.get("locale");
  String familyName = (String) payload.get("family_name");
  String givenName = (String) payload.get("given_name");

  // Use or store profile information
  // ...

} else {
  System.out.println("Invalid ID token.");
}

npm install google-auth-library --save

const {OAuth2Client} = require('google-auth-library');
const client = new OAuth2Client();
async function verify() {
  const ticket = await client.verifyIdToken({
      idToken: token,
      audience: CLIENT_ID,  // Specify the CLIENT_ID of the app that accesses the backend
      // Or, if multiple clients access the backend:
      //[CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]
  });
  const payload = ticket.getPayload();
  const userid = payload['sub'];
  // If request specified a G Suite domain:
  // const domain = payload['hd'];
}
verify().catch(console.error);

composer require google/apiclient

require_once 'vendor/autoload.php';

// Get $id_token via HTTPS POST.

$client = new Google_Client(['client_id' => $CLIENT_ID]);  // Specify the CLIENT_ID of the app that accesses the backend
$payload = $client->verifyIdToken($id_token);
if ($payload) {
  $userid = $payload['sub'];
  // If request specified a G Suite domain:
  //$domain = $payload['hd'];
} else {
  // Invalid ID token
}

from google.oauth2 import id_token
from google.auth.transport import requests

# (Receive token by HTTPS POST)
# ...

try:
    # Specify the CLIENT_ID of the app that accesses the backend:
    idinfo = id_token.verify_oauth2_token(token, requests.Request(), CLIENT_ID)

    # Or, if multiple clients access the backend server:
    # idinfo = id_token.verify_oauth2_token(token, requests.Request())
    # if idinfo['aud'] not in [CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]:
    #     raise ValueError('Could not verify audience.')

    # If auth request is from a G Suite domain:
    # if idinfo['hd'] != GSUITE_DOMAIN_NAME:
    #     raise ValueError('Wrong hosted domain.')

    # ID token is valid. Get the user's Google Account ID from the decoded token.
    userid = idinfo['sub']
except ValueError:
    # Invalid token
    pass

การเรียกใช้ปลายทางTokeninfo

วิธีง่ายๆ ในการตรวจสอบลายเซ็นโทเค็นรหัสเพื่อการแก้ไขข้อบกพร่องคือการใช้ปลายทาง tokeninfo การเรียกใช้ปลายทางนี้จะมีคำขอเครือข่ายเพิ่มเติมที่จะดำเนินการตรวจสอบส่วนใหญ่ให้คุณ ขณะทดสอบการตรวจสอบความถูกต้องและการดึงข้อมูลเปย์โหลดที่เหมาะสมในโค้ดของคุณเอง เนื่องจากไม่เหมาะสำหรับการใช้ในโค้ดที่ใช้งานจริงเนื่องจากคำขออาจถูกควบคุมหรืออาจมีข้อผิดพลาดเป็นช่วงๆ

หากต้องการตรวจสอบโทเค็นรหัสโดยใช้ปลายทาง tokeninfo ให้ส่งคำขอ HTTPS POST หรือ GET ไปยังปลายทาง แล้วส่งโทเค็นรหัสในพารามิเตอร์ id_token ตัวอย่างเช่น ในการตรวจสอบโทเค็น "XYZ123" ให้ส่งคำขอ GET ต่อไปนี้

https://oauth2.googleapis.com/tokeninfo?id_token=XYZ123

หากมีการรับรองโทเค็นอย่างถูกต้องและการอ้างสิทธิ์ iss และ exp มีค่าตามที่คาดไว้ คุณจะได้รับการตอบกลับ HTTP 200 โดยที่ส่วนเนื้อหามีการอ้างสิทธิ์โทเค็นรหัสรูปแบบ JSON ต่อไปนี้เป็นตัวอย่างคำตอบ

{
 // These six fields are included in all Google ID Tokens.
 "iss": "https://accounts.google.com",
 "sub": "110169484474386276334",
 "azp": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
 "aud": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
 "iat": "1433978353",
 "exp": "1433981953",

 // These seven fields are only included when the user has granted the "profile" and
 // "email" OAuth scopes to the application.
 "email": "testuser@gmail.com",
 "email_verified": "true",
 "name" : "Test User",
 "picture": "https://lh4.googleusercontent.com/-kYgzyAWpZzJ/ABCDEFGHI/AAAJKLMNOP/tIXL9Ir44LE/s99-c/photo.jpg",
 "given_name": "Test",
 "family_name": "User",
 "locale": "en"
}

หากต้องการตรวจสอบว่าโทเค็นรหัสแสดงถึงบัญชี Google Workspace หรือไม่ ให้ตรวจสอบการอ้างสิทธิ์ hd ซึ่งระบุโดเมนที่โฮสต์ของผู้ใช้ ซึ่งต้องใช้เมื่อจำกัดการเข้าถึงทรัพยากรไว้เฉพาะสมาชิกของโดเมนบางรายการเท่านั้น หากไม่มีการอ้างสิทธิ์นี้แสดงว่าบัญชีไม่ได้เป็นของโดเมนที่โฮสต์ใน Google Workspace

สร้างบัญชีหรือเซสชัน

หลังจากยืนยันโทเค็นแล้ว โปรดตรวจสอบว่าผู้ใช้อยู่ในฐานข้อมูลผู้ใช้แล้วหรือไม่ หากเป็นเช่นนั้น ให้สร้างเซสชันการตรวจสอบสิทธิ์ให้กับผู้ใช้ หากผู้ใช้ยังไม่ได้อยู่ในฐานข้อมูลผู้ใช้ ให้สร้างระเบียนผู้ใช้ใหม่จากข้อมูลในเพย์โหลดโทเค็นรหัส แล้วสร้างเซสชันสำหรับผู้ใช้ คุณสามารถแจ้งให้ผู้ใช้ เพิ่มข้อมูลโปรไฟล์เพิ่มเติมที่ต้องการเมื่อตรวจพบผู้ใช้ที่สร้างใหม่ในแอป

รักษาความปลอดภัยให้บัญชีของผู้ใช้ด้วยการป้องกันแบบครอบคลุมหลายบริการ

เมื่อคุณพึ่งพาให้ Google ลงชื่อเข้าใช้ผู้ใช้ คุณจะได้รับประโยชน์จากการฟีเจอร์ความปลอดภัยและโครงสร้างพื้นฐานทั้งหมดที่ Google สร้างขึ้นเพื่อปกป้องข้อมูลของผู้ใช้โดยอัตโนมัติ อย่างไรก็ตาม ในกรณีที่บัญชี Google ของผู้ใช้มักถูกละเมิด หรือมีเหตุการณ์ด้านความปลอดภัยที่สำคัญอื่นๆ แอปก็อาจเสี่ยงต่อการถูกโจมตีได้เช่นกัน ใช้การป้องกันแบบครอบคลุมหลายบริการเพื่อรับการแจ้งเตือนความปลอดภัยจาก Google เพื่อปกป้องบัญชีจากเหตุการณ์ด้านความปลอดภัยที่สำคัญได้ดีขึ้น เมื่อได้รับเหตุการณ์เหล่านี้ คุณจะเห็นการเปลี่ยนแปลงที่สำคัญด้านความปลอดภัยของบัญชี Google ของผู้ใช้ จากนั้นจึงดำเนินการกับบริการนั้นเพื่อรักษาบัญชีให้ปลอดภัย