การลงชื่อเข้าใช้บัญชีที่ลิงก์สำหรับ Android

การลงชื่อเข้าใช้บัญชีที่ลิงก์จะเปิดใช้การลงชื่อเข้าใช้ด้วย One Tap ด้วย Google ให้กับผู้ใช้ที่เชื่อมโยงกับบัญชี Google ของตนกับบริการของคุณอยู่แล้ว ซึ่งจะช่วยปรับปรุงประสบการณ์ของผู้ใช้เนื่องจากสามารถลงชื่อเข้าใช้ได้ในคลิกเดียว โดยไม่ต้องป้อนชื่อผู้ใช้และรหัสผ่านอีกครั้ง ทั้งยังลดโอกาสที่ผู้ใช้จะสร้างบัญชีที่ซ้ำกันในบริการของคุณด้วย

การลงชื่อเข้าใช้บัญชีที่ลิงก์มีให้บริการโดยเป็นส่วนหนึ่งของขั้นตอนการลงชื่อเข้าใช้ด้วย One Tap สำหรับ Android ซึ่งหมายความว่าคุณไม่ต้องนำเข้าไลบรารีแยกต่างหากหากแอปของคุณ เปิดใช้ฟีเจอร์ One Tap อยู่แล้ว

ในเอกสารนี้ คุณจะได้เรียนรู้วิธีแก้ไขแอป Android เพื่อรองรับการลงชื่อเข้าใช้บัญชีที่ลิงก์

วิธีการทำงาน

  1. คุณเลือกที่จะแสดงบัญชีที่ลิงก์ในระหว่างขั้นตอนการลงชื่อเข้าใช้ด้วย One Tap
  2. หากผู้ใช้ลงชื่อเข้าใช้ Google และลิงก์บัญชี Google ของตนกับบัญชีในบริการของคุณ ระบบจะส่งโทเค็นรหัสสำหรับบัญชีดังกล่าวกลับมา
  3. ผู้ใช้จะเห็นข้อความแจ้งให้ลงชื่อเข้าใช้ด้วย One Tap พร้อมตัวเลือกในการลงชื่อเข้าใช้บริการของคุณด้วยบัญชีที่ลิงก์
  4. หากผู้ใช้เลือกที่จะดำเนินการต่อด้วยบัญชีที่ลิงก์ไว้ ระบบจะส่งโทเค็นรหัสของผู้ใช้กลับไปยังแอปของคุณ โดยให้จับคู่หมายเลขนี้กับโทเค็นที่ส่งไปยังเซิร์ฟเวอร์ของคุณในขั้นตอนที่ 2 เพื่อระบุผู้ใช้ที่เข้าสู่ระบบ

ตั้งค่า

ตั้งค่าสภาพแวดล้อมในการพัฒนาซอฟต์แวร์

รับบริการ Google Play เวอร์ชันล่าสุดในโฮสต์การพัฒนา

  1. เปิด Android SDK Manager

  1. ค้นหาบริการ Google Play ในส่วนเครื่องมือ SDK

  2. หากสถานะสำหรับแพ็กเกจเหล่านี้ยังไม่ได้ติดตั้ง ให้เลือกทั้ง 2 แพ็กเกจ แล้วคลิกติดตั้งแพ็กเกจ

กำหนดค่าแอป

  1. ในไฟล์ build.gradle ระดับโปรเจ็กต์ ให้ใส่ที่เก็บ Maven ของ Google ไว้ทั้งในส่วน buildscript และ allprojects

    buildscript {
    repositories {
        google()
    }
}

allprojects {
    repositories {
        google()
    }
}

  2. เพิ่มทรัพยากร Dependency สำหรับ API "ลิงก์กับ Google" ไปยังไฟล์ Gradle ระดับแอปของโมดูล ซึ่งปกติจะอยู่ที่ app/build.gradle ดังนี้

    dependencies {
  implementation 'com.google.android.gms:play-services-auth:21.0.0'
}

แก้ไขแอป Android ให้รองรับการลงชื่อเข้าใช้บัญชีที่ลิงก์

ในตอนท้ายของขั้นตอนการลงชื่อเข้าใช้บัญชีที่ลิงก์ ระบบจะส่งโทเค็นรหัสกลับไปยังแอปของคุณ ควรยืนยันความสมบูรณ์ของโทเค็นรหัสก่อนให้ผู้ใช้ลงชื่อเข้าใช้

ตัวอย่างรหัสต่อไปนี้จะแสดงรายละเอียดขั้นตอนในการเรียกข้อมูล ยืนยันโทเค็นรหัส จากนั้นจึงลงชื่อเข้าใช้ให้ผู้ใช้

  1. สร้างกิจกรรมเพื่อรับผลลัพธ์ของความตั้งใจในการลงชื่อเข้าใช้

    Kotlin

      private val activityResultLauncher = registerForActivityResult(
    ActivityResultContracts.StartIntentSenderForResult()) { result ->
    if (result.resultCode == RESULT_OK) {
      try {
        val signInCredentials = Identity.signInClient(this)
                                .signInCredentialFromIntent(result.data)
        // Review the Verify the integrity of the ID token section for
        // details on how to verify the ID token
        verifyIdToken(signInCredential.googleIdToken)
      } catch (e: ApiException) {
        Log.e(TAG, "Sign-in failed with error code:", e)
      }
    } else {
      Log.e(TAG, "Sign-in failed")
    }
  }

    Java

      private final ActivityResultLauncher<IntentSenderResult>
    activityResultLauncher = registerForActivityResult(
    new ActivityResultContracts.StartIntentSenderForResult(),
    result -> {
    If (result.getResultCode() == RESULT_OK) {
        try {
          SignInCredential signInCredential = Identity.getSignInClient(this)
                         .getSignInCredentialFromIntent(result.getData());
          verifyIdToken(signInCredential.getGoogleIdToken());
        } catch (e: ApiException ) {
          Log.e(TAG, "Sign-in failed with error:", e)
        }
    } else {
        Log.e(TAG, "Sign-in failed")
    }
});

  2. สร้างคำขอลงชื่อเข้าใช้

    Kotlin

    private val tokenRequestOptions =
GoogleIdTokenRequestOptions.Builder()
  .supported(true)
  // Your server's client ID, not your Android client ID.
  .serverClientId(getString("your-server-client-id")
  .filterByAuthorizedAccounts(true)
  .associateLinkedAccounts("service-id-of-and-defined-by-developer",
                           scopes)
  .build()

    Java

     private final GoogleIdTokenRequestOptions tokenRequestOptions =
     GoogleIdTokenRequestOptions.Builder()
  .setSupported(true)
  .setServerClientId("your-service-client-id")
  .setFilterByAuthorizedAccounts(true)
  .associateLinkedAccounts("service-id-of-and-defined-by-developer",
                            scopes)
  .build()

  3. เปิดใช้ความตั้งใจที่รอดำเนินการในการลงชื่อเข้าใช้

    Kotlin

     Identity.signInClient(this)
    .beginSignIn(
  BeginSignInRequest.Builder()
    .googleIdTokenRequestOptions(tokenRequestOptions)
  .build())
    .addOnSuccessListener{result ->
      activityResultLauncher.launch(result.pendingIntent.intentSender)
  }
  .addOnFailureListener {e ->
    Log.e(TAG, "Sign-in failed because:", e)
  }

    Java

     Identity.getSignInClient(this)
  .beginSignIn(
    BeginSignInRequest.Builder()
      .setGoogleIdTokenRequestOptions(tokenRequestOptions)
      .build())
  .addOnSuccessListener(result -> {
    activityResultLauncher.launch(
        result.getPendingIntent().getIntentSender());
})
.addOnFailureListener(e -> {
  Log.e(TAG, "Sign-in failed because:", e);
});

ยืนยันความสมบูรณ์ของโทเค็นรหัส

หากต้องการยืนยันว่าโทเค็นถูกต้อง ให้ตรวจสอบว่าโทเค็นเป็นไปตามเกณฑ์ต่อไปนี้

  • Google รับรองโทเค็นรหัสอย่างถูกต้อง ใช้คีย์สาธารณะของ Google (มีให้บริการในรูปแบบ JWK หรือ PEM) เพื่อยืนยันลายเซ็นของโทเค็น ระบบจะหมุนเวียนคีย์เหล่านี้เป็นประจำ โปรดตรวจสอบส่วนหัว Cache-Control ในคำตอบเพื่อดูว่าคุณควรเรียกข้อมูลคีย์ดังกล่าวอีกครั้งเมื่อใด
  • ค่าของ aud ในโทเค็นรหัสเท่ากับรหัสไคลเอ็นต์ของแอป การตรวจสอบนี้จำเป็นต่อการป้องกันไม่ให้มีการใช้โทเค็นรหัสที่ออกให้แอปที่เป็นอันตรายเพื่อเข้าถึงข้อมูลเกี่ยวกับผู้ใช้รายเดียวกันในเซิร์ฟเวอร์แบ็กเอนด์ของแอป
  • ค่าของ iss ในโทเค็นรหัสเท่ากับ accounts.google.com หรือ https://accounts.google.com
  • ยังไม่ผ่านเวลาหมดอายุ (exp) ของโทเค็นรหัส
  • หากต้องการตรวจสอบว่าโทเค็นรหัสแสดงถึงบัญชี Google Workspace หรือ Cloud ขององค์กรหรือไม่ ให้ตรวจสอบการอ้างสิทธิ์ hd ซึ่งระบุโดเมนที่โฮสต์ของผู้ใช้ ซึ่งต้องใช้เมื่อจำกัดการเข้าถึงทรัพยากรไว้เฉพาะสมาชิกของบางโดเมนเท่านั้น การไม่มีการอ้างสิทธิ์นี้แสดงว่าบัญชีไม่ได้เป็นของโดเมนที่ Google โฮสต์

แทนที่จะเขียนโค้ดของคุณเองเพื่อดำเนินขั้นตอนการยืนยันเหล่านี้ เราขอแนะนำให้ใช้ไลบรารีของไคลเอ็นต์ Google API สำหรับแพลตฟอร์มของคุณ หรือใช้ไลบรารี JWT อเนกประสงค์แทน สำหรับการพัฒนาและการแก้ไขข้อบกพร่อง โปรดเรียกใช้ปลายทางการตรวจสอบ tokeninfo

ใช้ไลบรารีของไคลเอ็นต์ Google API

การใช้ไลบรารีของไคลเอ็นต์ Google API ของ Java เป็นวิธีที่แนะนำสำหรับการตรวจสอบโทเค็นรหัส Google ในสภาพแวดล้อมการใช้งานจริง

Java

  import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
  import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload;
  import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;

  ...

  GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
      // Specify the CLIENT_ID of the app that accesses the backend:
      .setAudience(Collections.singletonList(CLIENT_ID))
      // Or, if multiple clients access the backend:
      //.setAudience(Arrays.asList(CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3))
      .build();

  // (Receive idTokenString by HTTPS POST)

  GoogleIdToken idToken = verifier.verify(idTokenString);
  if (idToken != null) {
    Payload payload = idToken.getPayload();

    // Print user identifier
    String userId = payload.getSubject();
    System.out.println("User ID: " + userId);

    // Get profile information from payload
    String email = payload.getEmail();
    boolean emailVerified = Boolean.valueOf(payload.getEmailVerified());
    String name = (String) payload.get("name");
    String pictureUrl = (String) payload.get("picture");
    String locale = (String) payload.get("locale");
    String familyName = (String) payload.get("family_name");
    String givenName = (String) payload.get("given_name");

    // Use or store profile information
    // ...

  } else {
    System.out.println("Invalid ID token.");
  }

เมธอด GoogleIdTokenVerifier.verify() จะยืนยันลายเซ็น JWT, การอ้างสิทธิ์ aud, การอ้างสิทธิ์ iss และการอ้างสิทธิ์exp

หากต้องการตรวจสอบว่าโทเค็นรหัสแสดงถึงบัญชีองค์กรใน Google Workspace หรือ Cloud ให้ยืนยันการอ้างสิทธิ์ hd โดยตรวจสอบชื่อโดเมนที่ส่งกลับโดยเมธอด Payload.getHostedDomain()

การเรียกใช้ปลายทางTokeninfo

วิธีง่ายๆ ในการตรวจสอบลายเซ็นโทเค็นรหัสเพื่อการแก้ไขข้อบกพร่องคือการใช้ปลายทาง tokeninfo การเรียกใช้ปลายทางนี้จะมีคำขอเครือข่ายเพิ่มเติมที่จะดำเนินการตรวจสอบส่วนใหญ่ให้คุณ ขณะทดสอบการตรวจสอบความถูกต้องและการดึงข้อมูลเปย์โหลดที่เหมาะสมในโค้ดของคุณเอง เนื่องจากไม่เหมาะสำหรับการใช้ในโค้ดที่ใช้งานจริงเนื่องจากคำขออาจถูกควบคุมหรืออาจมีข้อผิดพลาดเป็นช่วงๆ

หากต้องการตรวจสอบโทเค็นรหัสโดยใช้ปลายทาง tokeninfo ให้ส่งคำขอ HTTPS POST หรือ GET ไปยังปลายทาง แล้วส่งโทเค็นรหัสในพารามิเตอร์ id_token ตัวอย่างเช่น ในการตรวจสอบโทเค็น "XYZ123" ให้ส่งคำขอ GET ต่อไปนี้

https://oauth2.googleapis.com/tokeninfo?id_token=XYZ123

หากมีการรับรองโทเค็นอย่างถูกต้องและการอ้างสิทธิ์ iss และ exp มีค่าตามที่คาดไว้ คุณจะได้รับการตอบกลับ HTTP 200 โดยที่ส่วนเนื้อหามีการอ้างสิทธิ์โทเค็นรหัสรูปแบบ JSON ต่อไปนี้เป็นตัวอย่างคำตอบ

{
 // These six fields are included in all Google ID Tokens.
 "iss": "https://accounts.google.com",
 "sub": "110169484474386276334",
 "azp": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
 "aud": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
 "iat": "1433978353",
 "exp": "1433981953",

 // These seven fields are only included when the user has granted the "profile" and
 // "email" OAuth scopes to the application.
 "email": "testuser@gmail.com",
 "email_verified": "true",
 "name" : "Test User",
 "picture": "https://lh4.googleusercontent.com/-kYgzyAWpZzJ/ABCDEFGHI/AAAJKLMNOP/tIXL9Ir44LE/s99-c/photo.jpg",
 "given_name": "Test",
 "family_name": "User",
 "locale": "en"
}

หากต้องการตรวจสอบว่าโทเค็นรหัสแสดงถึงบัญชี Google Workspace หรือไม่ ให้ตรวจสอบการอ้างสิทธิ์ hd ซึ่งระบุโดเมนที่โฮสต์ของผู้ใช้ ซึ่งต้องใช้เมื่อจำกัดการเข้าถึงทรัพยากรไว้เฉพาะสมาชิกของโดเมนบางรายการเท่านั้น หากไม่มีการอ้างสิทธิ์นี้แสดงว่าบัญชีไม่ได้เป็นของโดเมนที่โฮสต์ใน Google Workspace