Questa pagina è stata tradotta dall'API Cloud Translation.

Accesso all'account collegato per Android

L'opzione Accesso a un account collegato attiva l'opzione Accedi con Google con un tocco per gli utenti che hanno già il proprio Account Google collegato al servizio. Ciò migliora l'esperienza degli utenti perché possono accedere con un solo clic, senza dover reinserire nome utente e password. Inoltre, riduce le probabilità che gli utenti creino account duplicati nel tuo servizio.

L'accesso con un account collegato è disponibile come parte del flusso Accesso con un tocco per Android. Ciò significa che non devi importare una raccolta separata se nella tua app è già attiva la funzionalità One Tap.

In questo documento imparerai a modificare la tua app Android per supportare l'accesso all'account collegato.

Come funziona

Puoi attivare la visualizzazione degli account collegati durante il flusso di accesso One Tap.
Se l'utente ha eseguito l'accesso su Google e ha collegato il proprio Account Google al suo account sul tuo servizio, verrà restituito un token ID per l'account collegato.
All'utente viene mostrata una richiesta di accesso One Tap con un'opzione per accedere al servizio con l'account collegato.
Se l'utente sceglie di continuare con l'account collegato, il token ID dell'utente viene restituito alla tua app. Lo associa al token che è stato inviato al tuo server nel passaggio 2 per identificare l'utente che ha eseguito l'accesso.

Configurazione

Configurazione dell'ambiente di sviluppo

Scarica la versione più recente di Google Play Services sul tuo host di sviluppo:

Apri Android SDK Manager.

In Strumenti SDK, individua Google Play Services.
Se lo stato di questi pacchetti non è Installato, selezionali entrambi e fai clic su Installa pacchetti.

Configura la tua app

Nel file build.gradle a livello di progetto, includi il Repository Maven di Google in entrambe le sezioni buildscript e allprojects.
```
buildscript {
    repositories {
        google()
    }
}

allprojects {
    repositories {
        google()
    }
}
```
Aggiungi le dipendenze per l'API"Link with Google" al file gradle a livello di app del tuo modulo, che in genere è app/build.gradle:
```
dependencies {
  implementation 'com.google.android.gms:play-services-auth:21.0.0'
}
```

Modificare l'app Android per supportare l'accesso all'account collegato

Al termine del flusso di accesso all'account collegato, all'app viene restituito un token ID. L'integrità del token ID deve essere verificata prima di accedere all'utente.

Il seguente esempio di codice descrive in dettaglio i passaggi per recuperare, verificare il token ID e, successivamente, eseguire l'accesso dell'utente.

Crea un'attività per ricevere il risultato dell'intent di accesso

Kotlin

  private val activityResultLauncher = registerForActivityResult(
    ActivityResultContracts.StartIntentSenderForResult()) { result ->
    if (result.resultCode == RESULT_OK) {
      try {
        val signInCredentials = Identity.signInClient(this)
                                .signInCredentialFromIntent(result.data)
        // Review the Verify the integrity of the ID token section for
        // details on how to verify the ID token
        verifyIdToken(signInCredential.googleIdToken)
      } catch (e: ApiException) {
        Log.e(TAG, "Sign-in failed with error code:", e)
      }
    } else {
      Log.e(TAG, "Sign-in failed")
    }
  }

Java

  private final ActivityResultLauncher<IntentSenderResult>
    activityResultLauncher = registerForActivityResult(
    new ActivityResultContracts.StartIntentSenderForResult(),
    result -> {
    If (result.getResultCode() == RESULT_OK) {
        try {
          SignInCredential signInCredential = Identity.getSignInClient(this)
                         .getSignInCredentialFromIntent(result.getData());
          verifyIdToken(signInCredential.getGoogleIdToken());
        } catch (e: ApiException ) {
          Log.e(TAG, "Sign-in failed with error:", e)
        }
    } else {
        Log.e(TAG, "Sign-in failed")
    }
});

Crea la richiesta di accesso

Kotlin

private val tokenRequestOptions =
GoogleIdTokenRequestOptions.Builder()
  .supported(true)
  // Your server's client ID, not your Android client ID.
  .serverClientId(getString("your-server-client-id")
  .filterByAuthorizedAccounts(true)
  .associateLinkedAccounts("service-id-of-and-defined-by-developer",
                           scopes)
  .build()

Java

 private final GoogleIdTokenRequestOptions tokenRequestOptions =
     GoogleIdTokenRequestOptions.Builder()
  .setSupported(true)
  .setServerClientId("your-service-client-id")
  .setFilterByAuthorizedAccounts(true)
  .associateLinkedAccounts("service-id-of-and-defined-by-developer",
                            scopes)
  .build()

Avvia l'intent Accesso in attesa

Kotlin

 Identity.signInClient(this)
    .beginSignIn(
  BeginSignInRequest.Builder()
    .googleIdTokenRequestOptions(tokenRequestOptions)
  .build())
    .addOnSuccessListener{result ->
      activityResultLauncher.launch(result.pendingIntent.intentSender)
  }
  .addOnFailureListener {e ->
    Log.e(TAG, "Sign-in failed because:", e)
  }

Java

 Identity.getSignInClient(this)
  .beginSignIn(
    BeginSignInRequest.Builder()
      .setGoogleIdTokenRequestOptions(tokenRequestOptions)
      .build())
  .addOnSuccessListener(result -> {
    activityResultLauncher.launch(
        result.getPendingIntent().getIntentSender());
})
.addOnFailureListener(e -> {
  Log.e(TAG, "Sign-in failed because:", e);
});

Verifica l'integrità del token ID

Per verificare che il token sia valido, assicurati che siano soddisfatti i seguenti criteri:

Il token ID sia firmato correttamente da Google. Utilizza le chiavi pubbliche di Google (disponibili in formato JWK o PEM) per verificare la firma del token. Queste chiavi vengono ruotate regolarmente; esamina l'intestazione Cache-Control nella risposta per determinare quando devi recuperarle di nuovo.
Il valore di aud nel token ID è uguale a uno degli ID client della tua app. Questo controllo è necessario per impedire che i token ID emessi a un'app dannosa vengano utilizzati per accedere ai dati sullo stesso utente sul server di backend dell'app.
Il valore di iss nel token ID è uguale a accounts.google.com o https://accounts.google.com.
La scadenza (exp) del token ID non è trascorsa.
Se devi verificare che il token ID rappresenti un account Google Workspace o Cloud dell'organizzazione, puoi controllare la rivendicazione hd, che indica il dominio ospitato dell'utente. Questa opzione deve essere utilizzata per limitare l'accesso a una risorsa ai soli membri di determinati domini. L'assenza di questa rivendicazione indica che l'account non appartiene a un dominio ospitato da Google.

Anziché scrivere il tuo codice per eseguire questi passaggi di verifica, ti consigliamo vivamente di utilizzare una libreria client API di Google per la tua piattaforma o una libreria JWT generica. Per lo sviluppo e il debug, puoi chiamare il nostro endpoint di convalida tokeninfo.

Utilizzo di una libreria client dell'API di Google

L'utilizzo della libreria client dell'API di Google Java è il modo consigliato per convalidare i token ID Google in un ambiente di produzione.

Java

  import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
  import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload;
  import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;

  ...

  GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
      // Specify the CLIENT_ID of the app that accesses the backend:
      .setAudience(Collections.singletonList(CLIENT_ID))
      // Or, if multiple clients access the backend:
      //.setAudience(Arrays.asList(CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3))
      .build();

  // (Receive idTokenString by HTTPS POST)

  GoogleIdToken idToken = verifier.verify(idTokenString);
  if (idToken != null) {
    Payload payload = idToken.getPayload();

    // Print user identifier
    String userId = payload.getSubject();
    System.out.println("User ID: " + userId);

    // Get profile information from payload
    String email = payload.getEmail();
    boolean emailVerified = Boolean.valueOf(payload.getEmailVerified());
    String name = (String) payload.get("name");
    String pictureUrl = (String) payload.get("picture");
    String locale = (String) payload.get("locale");
    String familyName = (String) payload.get("family_name");
    String givenName = (String) payload.get("given_name");

    // Use or store profile information
    // ...

  } else {
    System.out.println("Invalid ID token.");
  }

Il metodo GoogleIdTokenVerifier.verify() verifica la firma JWT, l'attestazione aud, l'attestazione iss e l'attestazione loroexp.

Se devi verificare che il token ID rappresenti un account dell'organizzazione Google Workspace o Cloud, puoi verificare la rivendicazione hd controllando il nome di dominio restituito con il metodo Payload.getHostedDomain().

Chiamata all'endpoint tokeninfo

Un modo semplice per convalidare la firma di un token ID per il debug consiste nell'utilizzare l'endpoint tokeninfo. La chiamata di questo endpoint comporta un'ulteriore richiesta di rete che esegue la maggior parte della convalida per te mentre testerai la convalida e l'estrazione del payload corrette nel tuo codice. Non è adatto all'uso nel codice di produzione poiché le richieste potrebbero essere limitate o comunque soggette a errori intermittenti.

Per convalidare un token ID utilizzando l'endpoint tokeninfo, effettua una richiesta HTTPS POST o GET all'endpoint e trasmetti il token ID nel parametro id_token. Ad esempio, per convalidare il token "XYZ123", effettua la seguente richiesta GET:

https://oauth2.googleapis.com/tokeninfo?id_token=XYZ123

Se il token è firmato correttamente e le attestazioni iss e exp hanno i valori previsti, riceverai una risposta HTTP 200, in cui il corpo contiene le rivendicazioni del token ID in formato JSON. Ecco un esempio di risposta:

{
 // These six fields are included in all Google ID Tokens.
 "iss": "https://accounts.google.com",
 "sub": "110169484474386276334",
 "azp": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
 "aud": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
 "iat": "1433978353",
 "exp": "1433981953",

 // These seven fields are only included when the user has granted the "profile" and
 // "email" OAuth scopes to the application.
 "email": "testuser@gmail.com",
 "email_verified": "true",
 "name" : "Test User",
 "picture": "https://lh4.googleusercontent.com/-kYgzyAWpZzJ/ABCDEFGHI/AAAJKLMNOP/tIXL9Ir44LE/s99-c/photo.jpg",
 "given_name": "Test",
 "family_name": "User",
 "locale": "en"
}

Avviso:una volta ricevute queste rivendicazioni, devi comunque verificare che la rivendicazione aud contenga uno degli ID client della tua app. In caso affermativo, il token è valido e destinato al client e puoi recuperare e utilizzare in sicurezza l'ID Google univoco dell'utente dalla rivendicazione sub.

Se devi verificare che il token ID rappresenti un account Google Workspace, puoi controllare la rivendicazione hd, che indica il dominio ospitato dell'utente. Deve essere utilizzata quando limiti l'accesso a una risorsa ai soli membri di determinati domini. L'assenza di questa rivendicazione indica che l'account non appartiene a un dominio ospitato su Google Workspace.