연결된 계정 로그인을 사용하면 이미 Google 계정이 서비스에 연결된 사용자에 대해 Google 계정으로 원탭 로그인을 사용 설정할 수 있습니다. 이렇게 하면 사용자 이름과 비밀번호를 다시 입력하지 않고도 클릭 한 번으로 로그인할 수 있으므로 사용자 환경이 개선됩니다. 또한 사용자가 서비스에서 중복 계정을 만들 가능성이 줄어듭니다.
연결된 계정 로그인은 Android의 원탭 로그인 과정의 일부로 사용할 수 있습니다. 즉, 앱에 이미 원탭 기능이 사용 설정되어 있으면 별도의 라이브러리를 가져올 필요가 없습니다.
이 문서에서는 연결된 계정 로그인을 지원하도록 Android 앱을 수정하는 방법을 알아봅니다.
사용 방법
- 원탭 로그인 과정에서 연결된 계정을 표시하도록 선택합니다.
- 사용자가 Google에 로그인하고 Google 계정을 서비스 계정과 연결한 경우 연결된 계정에 대한 ID 토큰이 반환됩니다.
- 연결된 계정으로 서비스에 로그인하는 옵션이 포함된 원탭 로그인 메시지가 사용자에게 표시됩니다.
- 사용자가 연결된 계정으로 계속 진행하도록 선택하면 사용자의 ID 토큰이 앱으로 반환됩니다. 2단계에서 서버에 전송된 토큰과 일치시켜 로그인한 사용자를 식별합니다.
설정
개발 환경 설정
개발 호스트에서 최신 Google Play 서비스를 다운로드합니다.
- Android SDK Manager를 엽니다.
SDK Tools에서 Google Play 서비스를 찾습니다.
이 패키지의 상태가 '설치되지 않음'으로 표시되지 않으면 두 패키지를 모두 선택하고 Install Packages를 클릭합니다.
앱 구성
프로젝트 수준
build.gradle파일의buildscript및allprojects섹션에 Google의 Maven 저장소를 포함합니다.buildscript { repositories { google() } } allprojects { repositories { google() } }모듈의 앱 수준 Gradle 파일(일반적으로
app/build.gradle)에 'Link with Google' API의 종속 항목을 추가합니다.dependencies { implementation 'com.google.android.gms:play-services-auth:21.0.0' }
연결된 계정 로그인을 지원하도록 Android 앱 수정
연결된 계정 로그인 흐름의 끝에서 ID 토큰이 앱으로 반환됩니다. 사용자가 로그인하기 전에 ID 토큰의 무결성이 확인되어야 합니다.
다음 코드 샘플은 ID 토큰을 검색하고 이후에 사용자를 로그인하는 단계를 자세히 설명합니다.
로그인 인텐트의 결과를 수신하는 활동 만들기
Kotlin
private val activityResultLauncher = registerForActivityResult( ActivityResultContracts.StartIntentSenderForResult()) { result -> if (result.resultCode == RESULT_OK) { try { val signInCredentials = Identity.signInClient(this) .signInCredentialFromIntent(result.data) // Review the Verify the integrity of the ID token section for // details on how to verify the ID token verifyIdToken(signInCredential.googleIdToken) } catch (e: ApiException) { Log.e(TAG, "Sign-in failed with error code:", e) } } else { Log.e(TAG, "Sign-in failed") } }Java
private final ActivityResultLauncher<IntentSenderResult> activityResultLauncher = registerForActivityResult( new ActivityResultContracts.StartIntentSenderForResult(), result -> { If (result.getResultCode() == RESULT_OK) { try { SignInCredential signInCredential = Identity.getSignInClient(this) .getSignInCredentialFromIntent(result.getData()); verifyIdToken(signInCredential.getGoogleIdToken()); } catch (e: ApiException ) { Log.e(TAG, "Sign-in failed with error:", e) } } else { Log.e(TAG, "Sign-in failed") } });로그인 요청 빌드
Kotlin
private val tokenRequestOptions = GoogleIdTokenRequestOptions.Builder() .supported(true) // Your server's client ID, not your Android client ID. .serverClientId(getString("your-server-client-id") .filterByAuthorizedAccounts(true) .associateLinkedAccounts("service-id-of-and-defined-by-developer", scopes) .build()Java
private final GoogleIdTokenRequestOptions tokenRequestOptions = GoogleIdTokenRequestOptions.Builder() .setSupported(true) .setServerClientId("your-service-client-id") .setFilterByAuthorizedAccounts(true) .associateLinkedAccounts("service-id-of-and-defined-by-developer", scopes) .build()로그인 대기 중 인텐트 실행
Kotlin
Identity.signInClient(this) .beginSignIn( BeginSignInRequest.Builder() .googleIdTokenRequestOptions(tokenRequestOptions) .build()) .addOnSuccessListener{result -> activityResultLauncher.launch(result.pendingIntent.intentSender) } .addOnFailureListener {e -> Log.e(TAG, "Sign-in failed because:", e) }Java
Identity.getSignInClient(this) .beginSignIn( BeginSignInRequest.Builder() .setGoogleIdTokenRequestOptions(tokenRequestOptions) .build()) .addOnSuccessListener(result -> { activityResultLauncher.launch( result.getPendingIntent().getIntentSender()); }) .addOnFailureListener(e -> { Log.e(TAG, "Sign-in failed because:", e); });
ID 토큰의 무결성 확인
토큰이 유효한지 확인하려면 다음 기준이 충족되는지 확인하세요.
- Google에서 ID 토큰에 올바르게 서명했습니다. Google의 공개 키(JWK 또는 PEM 형식으로 제공)를 사용하여 토큰의 서명을 확인합니다. 이러한 키는 정기적으로 순환됩니다. 응답의
Cache-Control헤더를 검사하여 언제 다시 검색해야 하는지 판단합니다. - ID 토큰의
aud값은 앱의 클라이언트 ID 중 하나와 동일합니다. 이 검사는 악성 앱에 발급된 ID 토큰이 앱의 백엔드 서버에 있는 동일한 사용자의 데이터에 액세스하는 데 사용되는 것을 방지하기 위해 필요합니다. - ID 토큰의
iss값이accounts.google.com또는https://accounts.google.com입니다. - ID 토큰의 만료 시간 (
exp)이 지나지 않았습니다. - ID 토큰이 Google Workspace 또는 Cloud 조직 계정을 나타내는지 확인해야 하는 경우 사용자의 호스팅된 도메인을 나타내는
hd클레임을 확인하면 됩니다. 리소스에 대한 액세스를 특정 도메인의 구성원으로만 제한할 때 사용해야 합니다. 이 클레임이 없으면 계정이 Google 호스팅 도메인에 속하지 않는다는 의미입니다.
이러한 확인 단계를 수행하기 위해 코드를 직접 작성하는 대신 플랫폼에 맞는 Google API 클라이언트 라이브러리나 범용 JWT 라이브러리를 사용하는 것이 좋습니다. 개발 및 디버깅의 경우 tokeninfo 유효성 검사 엔드포인트를 호출할 수 있습니다.
Google API 클라이언트 라이브러리 사용
프로덕션 환경에서 Google ID 토큰을 검증할 때는 자바 Google API 클라이언트 라이브러리를 사용하는 것이 좋습니다.
Java
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;
...
GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
// Specify the CLIENT_ID of the app that accesses the backend:
.setAudience(Collections.singletonList(CLIENT_ID))
// Or, if multiple clients access the backend:
//.setAudience(Arrays.asList(CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3))
.build();
// (Receive idTokenString by HTTPS POST)
GoogleIdToken idToken = verifier.verify(idTokenString);
if (idToken != null) {
Payload payload = idToken.getPayload();
// Print user identifier
String userId = payload.getSubject();
System.out.println("User ID: " + userId);
// Get profile information from payload
String email = payload.getEmail();
boolean emailVerified = Boolean.valueOf(payload.getEmailVerified());
String name = (String) payload.get("name");
String pictureUrl = (String) payload.get("picture");
String locale = (String) payload.get("locale");
String familyName = (String) payload.get("family_name");
String givenName = (String) payload.get("given_name");
// Use or store profile information
// ...
} else {
System.out.println("Invalid ID token.");
}
GoogleIdTokenVerifier.verify() 메서드는 JWT 서명, aud 클레임, iss 클레임, exp 클레임을 확인합니다.
ID 토큰이 Google Workspace 또는 Cloud 조직 계정을 나타내는지 검증해야 한다면 Payload.getHostedDomain() 메서드에서 반환된 도메인 이름을 확인하여 hd 클레임을 확인할 수 있습니다.
tokeninfo 엔드포인트 호출
디버깅을 위해 ID 토큰 서명의 유효성을 검사하는 쉬운 방법은 tokeninfo 엔드포인트를 사용하는 것입니다. 이 엔드포인트를 호출하려면 개발자가 자체 코드에서 적절한 유효성 검사 및 페이로드 추출을 테스트하는 동안 대부분의 유효성 검사를 수행하는 추가 네트워크 요청이 필요합니다. 요청이 제한되거나 간헐적인 오류가 발생할 수 있으므로 프로덕션 코드에서는 사용하지 않습니다.
tokeninfo 엔드포인트를 사용하여 ID 토큰의 유효성을 검사하려면 엔드포인트에 HTTPS POST 또는 GET 요청을 실행하고 id_token 매개변수에 ID 토큰을 전달합니다.
예를 들어 'XYZ123' 토큰을 검증하려면 다음 GET 요청을 수행합니다.
https://oauth2.googleapis.com/tokeninfo?id_token=XYZ123
토큰이 올바르게 서명되고 iss 및 exp 클레임에 예상된 값이 있으면 본문에 JSON 형식의 ID 토큰 클레임이 포함된 HTTP 200 응답이 표시됩니다.
응답 예시는 다음과 같습니다.
{
// These six fields are included in all Google ID Tokens.
"iss": "https://accounts.google.com",
"sub": "110169484474386276334",
"azp": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
"aud": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
"iat": "1433978353",
"exp": "1433981953",
// These seven fields are only included when the user has granted the "profile" and
// "email" OAuth scopes to the application.
"email": "testuser@gmail.com",
"email_verified": "true",
"name" : "Test User",
"picture": "https://lh4.googleusercontent.com/-kYgzyAWpZzJ/ABCDEFGHI/AAAJKLMNOP/tIXL9Ir44LE/s99-c/photo.jpg",
"given_name": "Test",
"family_name": "User",
"locale": "en"
}
ID 토큰이 Google Workspace 계정을 나타내는지 확인해야 하는 경우 사용자의 호스팅된 도메인을 나타내는 hd 클레임을 확인하면 됩니다. 리소스에 대한 액세스를 특정 도메인의 구성원으로만 제한할 때 사용해야 합니다. 이 주장이 없으면 계정이 Google Workspace 호스팅 도메인에 속하지 않는다는 의미입니다.