आईडी टोकन का इस्तेमाल करके बैकएंड के साथ पुष्टि करें

जब कोई उपयोगकर्ता किसी Google खाता को चुनता है, तो One Tap साइन इन क्लाइंट को Google आईडी टोकन मिलता है. आईडी टोकन, उपयोगकर्ता की पहचान का हस्ताक्षर किया हुआ दावा होता है. इसमें उपयोगकर्ता की प्रोफ़ाइल की बुनियादी जानकारी भी शामिल होती है. इसमें वह ईमेल पता भी शामिल हो सकता है जिसकी पुष्टि Google ने की है.

आईडी टोकन उपलब्ध होने पर, इनका इस्तेमाल ऐप्लिकेशन के बैकएंड की मदद से, सुरक्षित तरीके से पुष्टि करने के लिए किया जा सकता है. इसके अलावा, उपयोगकर्ता के ईमेल पते की पुष्टि किए बिना ही, उपयोगकर्ता को नए खाते से अपने-आप साइन अप करने के लिए साइन अप किया जा सकता है.

आईडी टोकन से किसी उपयोगकर्ता में साइन इन या साइन अप करने के लिए, अपने ऐप्लिकेशन के बैकएंड पर टोकन भेजें. बैकएंड पर, Google API क्लाइंट लाइब्रेरी या अलग-अलग कामों के लिए इस्तेमाल की जाने वाली JWT लाइब्रेरी का इस्तेमाल करके, टोकन की पुष्टि करें. अगर उपयोगकर्ता ने पहले इस Google खाते से आपके ऐप्लिकेशन में साइन इन नहीं किया है, तो एक नया खाता बनाएं.

अगर आपने विकल्प के तौर पर, रीप्ले के हमलों से बचने के लिए नॉन्स का इस्तेमाल करने का विकल्प चुना है, तो इसे अपने बैकएंड सर्वर पर आईडी टोकन के साथ भेजने के लिए getNonce का इस्तेमाल करें. साथ ही, अनुमानित वैल्यू की जांच करें. हमारा सुझाव है कि उपयोगकर्ताओं की सुरक्षा को बेहतर बनाने के लिए, नॉन्स का इस्तेमाल करें.

क्रेडेंशियल ऑब्जेक्ट से आईडी टोकन पाएं

उपयोगकर्ता के क्रेडेंशियल हासिल करने के बाद, देखें कि क्रेडेंशियल ऑब्जेक्ट में आईडी टोकन शामिल है या नहीं. अगर यह मौजूद है, तो इसे अपने बैकएंड पर भेजें.

public class YourActivity extends AppCompatActivity {

  // ...
  private static final int REQ_ONE_TAP = 2;  // Can be any integer unique to the Activity.
  private boolean showOneTapUI = true;
  // ...

  @Override
  protected void onActivityResult(int requestCode, int resultCode, @Nullable Intent data) {
      super.onActivityResult(requestCode, resultCode, data);

      switch (requestCode) {
          case REQ_ONE_TAP:
              try {
                  SignInCredential credential = oneTapClient.getSignInCredentialFromIntent(data);
                  String idToken = credential.getGoogleIdToken();
                  if (idToken !=  null) {
                      // Got an ID token from Google. Use it to authenticate
                      // with your backend.
                      Log.d(TAG, "Got ID token.");
                  }
              } catch (ApiException e) {
                  // ...
              }
              break;
      }
  }
}

class YourActivity : AppCompatActivity() {

    // ...
    private val REQ_ONE_TAP = 2  // Can be any integer unique to the Activity
    private var showOneTapUI = true
    // ...

    override fun onActivityResult(requestCode: Int, resultCode: Int, data: Intent?) {
        super.onActivityResult(requestCode, resultCode, data)

        when (requestCode) {
             REQ_ONE_TAP -> {
                try {
                    val credential = oneTapClient.getSignInCredentialFromIntent(data)
                    val idToken = credential.googleIdToken
                    when {
                        idToken != null -> {
                            // Got an ID token from Google. Use it to authenticate
                            // with your backend.
                            Log.d(TAG, "Got ID token.")
                        }
                        else -> {
                            // Shouldn't happen.
                            Log.d(TAG, "No ID token!")
                        }
                    }
                } catch (e: ApiException) {
                    // ...
            }
        }
    }
    // ...
}

पुष्टि करना कि आईडी टोकन सही है या नहीं

एचटीटीपीएस POST से आईडी टोकन मिलने के बाद, आपको इसकी पुष्टि करनी होगी कि टोकन सही है या नहीं.

टोकन मान्य है या नहीं, इसकी पुष्टि करने के लिए पक्का करें कि नीचे दी गई शर्तों को पूरा किया गया हो:

• Google ने आईडी टोकन पर सही तरीके से हस्ताक्षर किया है. टोकन के हस्ताक्षर की पुष्टि करने के लिए, Google की सार्वजनिक कुंजियों (JWK या PEM फ़ॉर्मैट में उपलब्ध) का इस्तेमाल करें. इन कुंजियों को नियमित तौर पर घुमाया जाता है. जवाब में Cache-Control हेडर की जांच करके, यह तय करें कि आपको उन्हें फिर से कब वापस पाना चाहिए.
• आईडी टोकन में aud की वैल्यू आपके ऐप्लिकेशन के किसी क्लाइंट आईडी के बराबर है. यह जांच इसलिए ज़रूरी है, ताकि किसी नुकसान पहुंचाने वाले ऐप्लिकेशन को जारी किए गए आईडी टोकन, आपके ऐप्लिकेशन के बैकएंड सर्वर पर, उसी उपयोगकर्ता का डेटा ऐक्सेस करने के लिए इस्तेमाल न किए जा सकें.
• आईडी टोकन में iss की वैल्यू accounts.google.com या https://accounts.google.com के बराबर है.
• आईडी टोकन की समयसीमा (exp) खत्म नहीं हुई है.
• अगर आपको इस बात की पुष्टि करनी है कि आईडी टोकन, Google Workspace या Cloud संगठन के खाते के बारे में बताता है, तो hd दावा देखें. इससे पता चलता है कि उपयोगकर्ता का होस्ट किया गया डोमेन क्या है. किसी संसाधन के ऐक्सेस को सिर्फ़ कुछ डोमेन के सदस्यों को सीमित करते समय इसका इस्तेमाल करना चाहिए. यह दावा मौजूद न होने का मतलब है कि यह खाता, Google के होस्ट किए गए डोमेन से नहीं जुड़ा है.

पुष्टि करने के इन चरणों को पूरा करने के लिए खुद का कोड लिखने के बजाय, हमारा सुझाव है कि आप अपने प्लैटफ़ॉर्म के लिए, Google API क्लाइंट लाइब्रेरी या अलग-अलग कामों के लिए इस्तेमाल की जाने वाली JWT लाइब्रेरी इस्तेमाल करें. डेवलपमेंट और डीबग करने के लिए, हमारे tokeninfo वैलिडेशन एंडपॉइंट को कॉल किया जा सकता है.

Google API क्लाइंट लाइब्रेरी का इस्तेमाल करना

प्रोडक्शन एनवायरमेंट में, Google आईडी टोकन की पुष्टि करने के लिए, Google API क्लाइंट लाइब्रेरी में से किसी एक का इस्तेमाल करने का सुझाव दिया जाता है. जैसे, Java, Node.js, PHP, Python.

import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;

...

GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
    // Specify the CLIENT_ID of the app that accesses the backend:
    .setAudience(Collections.singletonList(CLIENT_ID))
    // Or, if multiple clients access the backend:
    //.setAudience(Arrays.asList(CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3))
    .build();

// (Receive idTokenString by HTTPS POST)

GoogleIdToken idToken = verifier.verify(idTokenString);
if (idToken != null) {
  Payload payload = idToken.getPayload();

  // Print user identifier
  String userId = payload.getSubject();
  System.out.println("User ID: " + userId);

  // Get profile information from payload
  String email = payload.getEmail();
  boolean emailVerified = Boolean.valueOf(payload.getEmailVerified());
  String name = (String) payload.get("name");
  String pictureUrl = (String) payload.get("picture");
  String locale = (String) payload.get("locale");
  String familyName = (String) payload.get("family_name");
  String givenName = (String) payload.get("given_name");

  // Use or store profile information
  // ...

} else {
  System.out.println("Invalid ID token.");
}

npm install google-auth-library --save

const {OAuth2Client} = require('google-auth-library');
const client = new OAuth2Client();
async function verify() {
  const ticket = await client.verifyIdToken({
      idToken: token,
      audience: CLIENT_ID,  // Specify the CLIENT_ID of the app that accesses the backend
      // Or, if multiple clients access the backend:
      //[CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]
  });
  const payload = ticket.getPayload();
  const userid = payload['sub'];
  // If the request specified a Google Workspace domain:
  // const domain = payload['hd'];
}
verify().catch(console.error);

composer require google/apiclient

require_once 'vendor/autoload.php';

// Get $id_token via HTTPS POST.

$client = new Google_Client(['client_id' => $CLIENT_ID]);  // Specify the CLIENT_ID of the app that accesses the backend
$payload = $client->verifyIdToken($id_token);
if ($payload) {
  $userid = $payload['sub'];
  // If the request specified a Google Workspace domain
  //$domain = $payload['hd'];
} else {
  // Invalid ID token
}

from google.oauth2 import id_token
from google.auth.transport import requests

# (Receive token by HTTPS POST)
# ...

try:
    # Specify the CLIENT_ID of the app that accesses the backend:
    idinfo = id_token.verify_oauth2_token(token, requests.Request(), CLIENT_ID)

    # Or, if multiple clients access the backend server:
    # idinfo = id_token.verify_oauth2_token(token, requests.Request())
    # if idinfo['aud'] not in [CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]:
    #     raise ValueError('Could not verify audience.')

    # If the request specified a Google Workspace domain
    # if idinfo['hd'] != DOMAIN_NAME:
    #     raise ValueError('Wrong domain name.')

    # ID token is valid. Get the user's Google Account ID from the decoded token.
    userid = idinfo['sub']
except ValueError:
    # Invalid token
    pass

टोकन जानकारी एंडपॉइंट को कॉल करना

डीबगिंग के लिए, आईडी टोकन सिग्नेचर की पुष्टि करने का एक आसान तरीका tokeninfo एंडपॉइंट का इस्तेमाल करना है. इस एंडपॉइंट को कॉल करने के लिए एक और नेटवर्क अनुरोध शामिल होता है. इससे अपने कोड में सही तरीके से पुष्टि करने और पेलोड निकालने की जांच करने के दौरान, पुष्टि का ज़्यादातर काम किया जाता है. यह प्रोडक्शन कोड में इस्तेमाल करने के लिए सही नहीं है, क्योंकि अनुरोधों को रोका जा सकता है या कभी-कभी गड़बड़ियां भी हो सकती हैं.

tokeninfo एंडपॉइंट का इस्तेमाल करके, किसी आईडी टोकन की पुष्टि करने के लिए, एंडपॉइंट पर एचटीटीपीएस POST या GET अनुरोध भेजें और id_token पैरामीटर में अपना आईडी टोकन पास करें. उदाहरण के लिए, "XYZ123" टोकन की पुष्टि करने के लिए, यह GET अनुरोध करें:

https://oauth2.googleapis.com/tokeninfo?id_token=XYZ123

अगर टोकन सही तरीके से साइन किया गया है और iss और exp के दावों में अनुमानित वैल्यू हैं, तो आपको एचटीटीपी 200 रिस्पॉन्स मिलेगा. इस रिस्पॉन्स के मुख्य भाग में JSON फ़ॉर्मैट वाले आईडी टोकन के दावे शामिल होंगे. यहां जवाब का एक उदाहरण दिया गया है:

{
 // These six fields are included in all Google ID Tokens.
 "iss": "https://accounts.google.com",
 "sub": "110169484474386276334",
 "azp": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
 "aud": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
 "iat": "1433978353",
 "exp": "1433981953",

 // These seven fields are only included when the user has granted the "profile" and
 // "email" OAuth scopes to the application.
 "email": "testuser@gmail.com",
 "email_verified": "true",
 "name" : "Test User",
 "picture": "https://lh4.googleusercontent.com/-kYgzyAWpZzJ/ABCDEFGHI/AAAJKLMNOP/tIXL9Ir44LE/s99-c/photo.jpg",
 "given_name": "Test",
 "family_name": "User",
 "locale": "en"
}

अगर आपको इस बात की पुष्टि करनी है कि आईडी टोकन से Google Workspace खाते का पता चलता है, तो hd दावा देखें. इससे पता चलता है कि उपयोगकर्ता का होस्ट किया गया डोमेन क्या है. इसका इस्तेमाल तब करना चाहिए, जब किसी संसाधन के ऐक्सेस को सिर्फ़ कुछ डोमेन के सदस्यों तक सीमित किया गया हो. यह दावा मौजूद न होने का मतलब है कि यह खाता, Google Workspace के होस्ट किए गए डोमेन से जुड़ा नहीं है.

खाता या सेशन बनाएं

टोकन की पुष्टि करने के बाद, देखें कि उपयोगकर्ता पहले से आपके उपयोगकर्ता डेटाबेस में है या नहीं. अगर हां, तो उपयोगकर्ता के लिए एक पुष्टि किया गया सेशन तय करें. अगर उपयोगकर्ता अब तक आपके उपयोगकर्ता डेटाबेस में नहीं है, तो आईडी टोकन पेलोड की जानकारी से एक नया उपयोगकर्ता रिकॉर्ड बनाएं और उपयोगकर्ता के लिए एक सेशन बनाएं. अगर आपको अपने ऐप्लिकेशन में किसी नए उपयोगकर्ता का पता चलता है, तो उपयोगकर्ता को प्रोफ़ाइल से जुड़ी ऐसी अतिरिक्त जानकारी देने के लिए कहा जा सकता है जिसकी ज़रूरत हो.

'सभी खातों की सुरक्षा' सुविधा की मदद से उपयोगकर्ताओं के खातों को सुरक्षित रखना

अगर किसी उपयोगकर्ता के खाते में साइन इन करने के लिए Google पर भरोसा किया जाता है, तो आपको अपने-आप उन सभी सुरक्षा सुविधाओं और इन्फ़्रास्ट्रक्चर का फ़ायदा मिलेगा जिन्हें Google ने, उपयोगकर्ता के डेटा की सुरक्षा के लिए बनाया है. हालांकि, अगर उपयोगकर्ता के Google खाते से छेड़छाड़ होने की कोई संभावना नहीं है या सुरक्षा से जुड़ी किसी दूसरी अहम गतिविधि का पता चलता है, तो आपके ऐप्लिकेशन पर हमले का खतरा भी हो सकता है. अपने खातों को सुरक्षा से जुड़ी किसी भी बड़ी गतिविधि से बचाने के लिए, सभी खातों की सुरक्षा सुविधा का इस्तेमाल करें. इससे आपको Google से सुरक्षा से जुड़ी चेतावनियां मिलती हैं. इस तरह के इवेंट मिलने पर, आपको उपयोगकर्ता के Google खाते की सुरक्षा से जुड़े अहम बदलावों की जानकारी मिलती है. इसके बाद, अपने खातों को सुरक्षित रखने के लिए अपनी सेवा पर कार्रवाई की जा सकती है.