การลงชื่อเข้าใช้บัญชีที่ลิงก์จะเปิดใช้การลงชื่อเข้าใช้ด้วย One Tap ด้วย Google ให้กับผู้ใช้ที่เชื่อมโยงกับบัญชี Google ของตนกับบริการของคุณอยู่แล้ว ซึ่งจะช่วยปรับปรุงประสบการณ์ของผู้ใช้เนื่องจากสามารถลงชื่อเข้าใช้ได้ในคลิกเดียว โดยไม่ต้องป้อนชื่อผู้ใช้และรหัสผ่านอีกครั้ง ทั้งยังลดโอกาสที่ผู้ใช้จะสร้างบัญชีที่ซ้ำกันในบริการของคุณด้วย
การลงชื่อเข้าใช้บัญชีที่ลิงก์มีให้บริการโดยเป็นส่วนหนึ่งของขั้นตอนการลงชื่อเข้าใช้ด้วย One Tap สำหรับ Android ซึ่งหมายความว่าคุณไม่ต้องนำเข้าไลบรารีแยกต่างหากหากแอปของคุณ เปิดใช้ฟีเจอร์ One Tap อยู่แล้ว
ในเอกสารนี้ คุณจะได้เรียนรู้วิธีแก้ไขแอป Android เพื่อรองรับการลงชื่อเข้าใช้บัญชีที่ลิงก์
วิธีการทำงาน
- คุณเลือกที่จะแสดงบัญชีที่ลิงก์ในระหว่างขั้นตอนการลงชื่อเข้าใช้ด้วย One Tap
- หากผู้ใช้ลงชื่อเข้าใช้ Google และลิงก์บัญชี Google ของตนกับบัญชีในบริการของคุณ ระบบจะส่งโทเค็นรหัสสำหรับบัญชีดังกล่าวกลับมา
- ผู้ใช้จะเห็นข้อความแจ้งให้ลงชื่อเข้าใช้ด้วย One Tap พร้อมตัวเลือกในการลงชื่อเข้าใช้บริการของคุณด้วยบัญชีที่ลิงก์
- หากผู้ใช้เลือกที่จะดำเนินการต่อด้วยบัญชีที่ลิงก์ไว้ ระบบจะส่งโทเค็นรหัสของผู้ใช้กลับไปยังแอปของคุณ โดยให้จับคู่หมายเลขนี้กับโทเค็นที่ส่งไปยังเซิร์ฟเวอร์ของคุณในขั้นตอนที่ 2 เพื่อระบุผู้ใช้ที่เข้าสู่ระบบ
ตั้งค่า
ตั้งค่าสภาพแวดล้อมในการพัฒนาซอฟต์แวร์
รับบริการ Google Play เวอร์ชันล่าสุดในโฮสต์การพัฒนา
- เปิด Android SDK Manager
ค้นหาบริการ Google Play ในส่วนเครื่องมือ SDK
หากสถานะสำหรับแพ็กเกจเหล่านี้ยังไม่ได้ติดตั้ง ให้เลือกทั้ง 2 แพ็กเกจ แล้วคลิกติดตั้งแพ็กเกจ
กำหนดค่าแอป
ในไฟล์
build.gradle
ระดับโปรเจ็กต์ ให้ใส่ที่เก็บ Maven ของ Google ไว้ทั้งในส่วนbuildscript
และallprojects
buildscript { repositories { google() } } allprojects { repositories { google() } }
เพิ่มทรัพยากร Dependency สำหรับ API "ลิงก์กับ Google" ไปยังไฟล์ Gradle ระดับแอปของโมดูล ซึ่งปกติจะอยู่ที่
app/build.gradle
ดังนี้dependencies { implementation 'com.google.android.gms:play-services-auth:21.0.0' }
แก้ไขแอป Android ให้รองรับการลงชื่อเข้าใช้บัญชีที่ลิงก์
ในตอนท้ายของขั้นตอนการลงชื่อเข้าใช้บัญชีที่ลิงก์ ระบบจะส่งโทเค็นรหัสกลับไปยังแอปของคุณ ควรยืนยันความสมบูรณ์ของโทเค็นรหัสก่อนให้ผู้ใช้ลงชื่อเข้าใช้
ตัวอย่างรหัสต่อไปนี้จะแสดงรายละเอียดขั้นตอนในการเรียกข้อมูล ยืนยันโทเค็นรหัส จากนั้นจึงลงชื่อเข้าใช้ให้ผู้ใช้
สร้างกิจกรรมเพื่อรับผลลัพธ์ของความตั้งใจในการลงชื่อเข้าใช้
Kotlin
private val activityResultLauncher = registerForActivityResult( ActivityResultContracts.StartIntentSenderForResult()) { result -> if (result.resultCode == RESULT_OK) { try { val signInCredentials = Identity.signInClient(this) .signInCredentialFromIntent(result.data) // Review the Verify the integrity of the ID token section for // details on how to verify the ID token verifyIdToken(signInCredential.googleIdToken) } catch (e: ApiException) { Log.e(TAG, "Sign-in failed with error code:", e) } } else { Log.e(TAG, "Sign-in failed") } }
Java
private final ActivityResultLauncher<IntentSenderResult> activityResultLauncher = registerForActivityResult( new ActivityResultContracts.StartIntentSenderForResult(), result -> { If (result.getResultCode() == RESULT_OK) { try { SignInCredential signInCredential = Identity.getSignInClient(this) .getSignInCredentialFromIntent(result.getData()); verifyIdToken(signInCredential.getGoogleIdToken()); } catch (e: ApiException ) { Log.e(TAG, "Sign-in failed with error:", e) } } else { Log.e(TAG, "Sign-in failed") } });
สร้างคำขอลงชื่อเข้าใช้
Kotlin
private val tokenRequestOptions = GoogleIdTokenRequestOptions.Builder() .supported(true) // Your server's client ID, not your Android client ID. .serverClientId(getString("your-server-client-id") .filterByAuthorizedAccounts(true) .associateLinkedAccounts("service-id-of-and-defined-by-developer", scopes) .build()
Java
private final GoogleIdTokenRequestOptions tokenRequestOptions = GoogleIdTokenRequestOptions.Builder() .setSupported(true) .setServerClientId("your-service-client-id") .setFilterByAuthorizedAccounts(true) .associateLinkedAccounts("service-id-of-and-defined-by-developer", scopes) .build()
เปิดใช้ความตั้งใจที่รอดำเนินการในการลงชื่อเข้าใช้
Kotlin
Identity.signInClient(this) .beginSignIn( BeginSignInRequest.Builder() .googleIdTokenRequestOptions(tokenRequestOptions) .build()) .addOnSuccessListener{result -> activityResultLauncher.launch(result.pendingIntent.intentSender) } .addOnFailureListener {e -> Log.e(TAG, "Sign-in failed because:", e) }
Java
Identity.getSignInClient(this) .beginSignIn( BeginSignInRequest.Builder() .setGoogleIdTokenRequestOptions(tokenRequestOptions) .build()) .addOnSuccessListener(result -> { activityResultLauncher.launch( result.getPendingIntent().getIntentSender()); }) .addOnFailureListener(e -> { Log.e(TAG, "Sign-in failed because:", e); });
ยืนยันความสมบูรณ์ของโทเค็นรหัส
หากต้องการยืนยันว่าโทเค็นถูกต้อง ให้ตรวจสอบว่าโทเค็นเป็นไปตามเกณฑ์ต่อไปนี้
- Google รับรองโทเค็นรหัสอย่างถูกต้อง ใช้คีย์สาธารณะของ Google (มีให้บริการในรูปแบบ JWK หรือ PEM) เพื่อยืนยันลายเซ็นของโทเค็น ระบบจะหมุนเวียนคีย์เหล่านี้เป็นประจำ โปรดตรวจสอบส่วนหัว
Cache-Control
ในคำตอบเพื่อดูว่าคุณควรเรียกข้อมูลคีย์ดังกล่าวอีกครั้งเมื่อใด - ค่าของ
aud
ในโทเค็นรหัสเท่ากับรหัสไคลเอ็นต์ของแอป การตรวจสอบนี้จำเป็นต่อการป้องกันไม่ให้มีการใช้โทเค็นรหัสที่ออกให้แอปที่เป็นอันตรายเพื่อเข้าถึงข้อมูลเกี่ยวกับผู้ใช้รายเดียวกันในเซิร์ฟเวอร์แบ็กเอนด์ของแอป - ค่าของ
iss
ในโทเค็นรหัสเท่ากับaccounts.google.com
หรือhttps://accounts.google.com
- ยังไม่ผ่านเวลาหมดอายุ (
exp
) ของโทเค็นรหัส - หากต้องการตรวจสอบว่าโทเค็นรหัสแสดงถึงบัญชี Google Workspace หรือ Cloud
ขององค์กรหรือไม่ ให้ตรวจสอบการอ้างสิทธิ์
hd
ซึ่งระบุโดเมนที่โฮสต์ของผู้ใช้ ซึ่งต้องใช้เมื่อจำกัดการเข้าถึงทรัพยากรไว้เฉพาะสมาชิกของบางโดเมนเท่านั้น การไม่มีการอ้างสิทธิ์นี้แสดงว่าบัญชีไม่ได้เป็นของโดเมนที่ Google โฮสต์
แทนที่จะเขียนโค้ดของคุณเองเพื่อดำเนินขั้นตอนการยืนยันเหล่านี้ เราขอแนะนำให้ใช้ไลบรารีของไคลเอ็นต์ Google API สำหรับแพลตฟอร์มของคุณ หรือใช้ไลบรารี JWT อเนกประสงค์แทน สำหรับการพัฒนาและการแก้ไขข้อบกพร่อง โปรดเรียกใช้ปลายทางการตรวจสอบ tokeninfo
ใช้ไลบรารีของไคลเอ็นต์ Google API
การใช้ไลบรารีของไคลเอ็นต์ Google API ของ Java เป็นวิธีที่แนะนำสำหรับการตรวจสอบโทเค็นรหัส Google ในสภาพแวดล้อมการใช้งานจริง
Java
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;
...
GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
// Specify the CLIENT_ID of the app that accesses the backend:
.setAudience(Collections.singletonList(CLIENT_ID))
// Or, if multiple clients access the backend:
//.setAudience(Arrays.asList(CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3))
.build();
// (Receive idTokenString by HTTPS POST)
GoogleIdToken idToken = verifier.verify(idTokenString);
if (idToken != null) {
Payload payload = idToken.getPayload();
// Print user identifier
String userId = payload.getSubject();
System.out.println("User ID: " + userId);
// Get profile information from payload
String email = payload.getEmail();
boolean emailVerified = Boolean.valueOf(payload.getEmailVerified());
String name = (String) payload.get("name");
String pictureUrl = (String) payload.get("picture");
String locale = (String) payload.get("locale");
String familyName = (String) payload.get("family_name");
String givenName = (String) payload.get("given_name");
// Use or store profile information
// ...
} else {
System.out.println("Invalid ID token.");
}
เมธอด GoogleIdTokenVerifier.verify()
จะยืนยันลายเซ็น JWT, การอ้างสิทธิ์ aud
, การอ้างสิทธิ์ iss
และการอ้างสิทธิ์exp
หากต้องการตรวจสอบว่าโทเค็นรหัสแสดงถึงบัญชีองค์กรใน Google Workspace หรือ Cloud ให้ยืนยันการอ้างสิทธิ์ hd
โดยตรวจสอบชื่อโดเมนที่ส่งกลับโดยเมธอด Payload.getHostedDomain()
การเรียกใช้ปลายทางTokeninfo
วิธีง่ายๆ ในการตรวจสอบลายเซ็นโทเค็นรหัสเพื่อการแก้ไขข้อบกพร่องคือการใช้ปลายทาง tokeninfo
การเรียกใช้ปลายทางนี้จะมีคำขอเครือข่ายเพิ่มเติมที่จะดำเนินการตรวจสอบส่วนใหญ่ให้คุณ ขณะทดสอบการตรวจสอบความถูกต้องและการดึงข้อมูลเปย์โหลดที่เหมาะสมในโค้ดของคุณเอง เนื่องจากไม่เหมาะสำหรับการใช้ในโค้ดที่ใช้งานจริงเนื่องจากคำขออาจถูกควบคุมหรืออาจมีข้อผิดพลาดเป็นช่วงๆ
หากต้องการตรวจสอบโทเค็นรหัสโดยใช้ปลายทาง tokeninfo
ให้ส่งคำขอ HTTPS POST หรือ GET ไปยังปลายทาง แล้วส่งโทเค็นรหัสในพารามิเตอร์ id_token
ตัวอย่างเช่น ในการตรวจสอบโทเค็น "XYZ123" ให้ส่งคำขอ GET ต่อไปนี้
https://oauth2.googleapis.com/tokeninfo?id_token=XYZ123
หากมีการรับรองโทเค็นอย่างถูกต้องและการอ้างสิทธิ์ iss
และ exp
มีค่าตามที่คาดไว้ คุณจะได้รับการตอบกลับ HTTP 200 โดยที่ส่วนเนื้อหามีการอ้างสิทธิ์โทเค็นรหัสรูปแบบ JSON
ต่อไปนี้เป็นตัวอย่างคำตอบ
{ // These six fields are included in all Google ID Tokens. "iss": "https://accounts.google.com", "sub": "110169484474386276334", "azp": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com", "aud": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com", "iat": "1433978353", "exp": "1433981953", // These seven fields are only included when the user has granted the "profile" and // "email" OAuth scopes to the application. "email": "testuser@gmail.com", "email_verified": "true", "name" : "Test User", "picture": "https://lh4.googleusercontent.com/-kYgzyAWpZzJ/ABCDEFGHI/AAAJKLMNOP/tIXL9Ir44LE/s99-c/photo.jpg", "given_name": "Test", "family_name": "User", "locale": "en" }
หากต้องการตรวจสอบว่าโทเค็นรหัสแสดงถึงบัญชี Google Workspace หรือไม่ ให้ตรวจสอบการอ้างสิทธิ์ hd
ซึ่งระบุโดเมนที่โฮสต์ของผู้ใช้ ซึ่งต้องใช้เมื่อจำกัดการเข้าถึงทรัพยากรไว้เฉพาะสมาชิกของโดเมนบางรายการเท่านั้น หากไม่มีการอ้างสิทธิ์นี้แสดงว่าบัญชีไม่ได้เป็นของโดเมนที่โฮสต์ใน Google Workspace