Bağlı Hesapla Oturum Açma, Google Hesaplarını hizmetinize bağlamış olan kullanıcıların One Tap ile Google ile Oturum Açma özelliğini etkinleştirir. Bu, kullanıcı adlarını ve şifrelerini tekrar girmek zorunda kalmadan tek tıklamayla oturum açabilmelerini sağlamak için kullanıcıların deneyimini iyileştirir. Ayrıca, kullanıcıların hizmetinizde yinelenen hesaplar oluşturma ihtimalini de azaltır.
Bağlı Hesapla Oturum Açma, Android için One Tap ile Oturum Açma akışı kapsamında kullanılabilir. Bu, uygulamanızda One Tap özelliği etkinse ayrı bir kitaplığı içe aktarmanıza gerek olmadığı anlamına gelir.
Bu dokümanda, Android uygulamanızı Bağlantılı Hesapta Oturum Açma özelliğini destekleyecek şekilde nasıl değiştireceğinizi öğreneceksiniz.
İşleyiş şekli
- One Tap ile Oturum Açma akışı sırasında bağlı hesapları göstermeyi etkinleştirirsiniz.
- Kullanıcı Google'da oturum açtıysa ve Google Hesabını hizmetinizde hesabına bağladıysa, bağlı hesap için bir kimlik jetonu döndürülür.
- Kullanıcıya, bağlı hesabıyla hizmetinizde oturum açma seçeneği içeren bir One Tap oturum açma istemi gösterilir.
- Kullanıcı bağlı hesapla devam etmeyi seçerse kullanıcının kimlik jetonu uygulamanıza döndürülür. Bunu, giriş yapmış kullanıcıyı tanımlamak için 2. adımda sunucunuza gönderilen jetonla eşleştirirsiniz.
Kurulum
Geliştirme ortamınızı ayarlama
Geliştirme barındırıcınızda en son Google Play Hizmetleri'ni edinin:
- Android SDK Manager'ı açın.
SDK Araçları'nın altında Google Play Hizmetleri'ni bulun.
Bu paketlerin durumu Yüklü değilse her ikisini de seçin ve Paketleri Yükle'yi tıklayın.
Uygulamanızı yapılandırma
Proje düzeyindeki
build.gradle
dosyanıza, hembuildscript
hem deallprojects
bölümlerinize Google'ın Maven deposunu ekleyin.buildscript { repositories { google() } } allprojects { repositories { google() } }
"Link with Google" API (Google ile Bağla) için bağımlılıkları, modülünüzün uygulama düzeyindeki Gradle dosyasına (genellikle
app/build.gradle
) ekleyin:dependencies { implementation 'com.google.android.gms:play-services-auth:21.0.0' }
Android uygulamanızı Bağlantılı Hesapta Oturum Açma özelliğini destekleyecek şekilde değiştirme
Bağlantılı Hesapta Oturum Açma akışının sonunda uygulamanıza bir kimlik jetonu döndürülür. Kullanıcı oturum açmadan önce kimlik jetonunun bütünlüğü doğrulanmalıdır.
Aşağıdaki kod örneğinde, kimlik jetonunu doğrulama ve ardından kullanıcının oturumunu açmayla ilgili adımlar ayrıntılı bir şekilde açıklanmaktadır.
Oturum Açma amacının sonucunu almak için bir etkinlik oluşturma
Kotlin
private val activityResultLauncher = registerForActivityResult( ActivityResultContracts.StartIntentSenderForResult()) { result -> if (result.resultCode == RESULT_OK) { try { val signInCredentials = Identity.signInClient(this) .signInCredentialFromIntent(result.data) // Review the Verify the integrity of the ID token section for // details on how to verify the ID token verifyIdToken(signInCredential.googleIdToken) } catch (e: ApiException) { Log.e(TAG, "Sign-in failed with error code:", e) } } else { Log.e(TAG, "Sign-in failed") } }
Java
private final ActivityResultLauncher<IntentSenderResult> activityResultLauncher = registerForActivityResult( new ActivityResultContracts.StartIntentSenderForResult(), result -> { If (result.getResultCode() == RESULT_OK) { try { SignInCredential signInCredential = Identity.getSignInClient(this) .getSignInCredentialFromIntent(result.getData()); verifyIdToken(signInCredential.getGoogleIdToken()); } catch (e: ApiException ) { Log.e(TAG, "Sign-in failed with error:", e) } } else { Log.e(TAG, "Sign-in failed") } });
Oturum açma isteği oluşturma
Kotlin
private val tokenRequestOptions = GoogleIdTokenRequestOptions.Builder() .supported(true) // Your server's client ID, not your Android client ID. .serverClientId(getString("your-server-client-id") .filterByAuthorizedAccounts(true) .associateLinkedAccounts("service-id-of-and-defined-by-developer", scopes) .build()
Java
private final GoogleIdTokenRequestOptions tokenRequestOptions = GoogleIdTokenRequestOptions.Builder() .setSupported(true) .setServerClientId("your-service-client-id") .setFilterByAuthorizedAccounts(true) .associateLinkedAccounts("service-id-of-and-defined-by-developer", scopes) .build()
Oturum Açma Bekliyor niyetini başlatın
Kotlin
Identity.signInClient(this) .beginSignIn( BeginSignInRequest.Builder() .googleIdTokenRequestOptions(tokenRequestOptions) .build()) .addOnSuccessListener{result -> activityResultLauncher.launch(result.pendingIntent.intentSender) } .addOnFailureListener {e -> Log.e(TAG, "Sign-in failed because:", e) }
Java
Identity.getSignInClient(this) .beginSignIn( BeginSignInRequest.Builder() .setGoogleIdTokenRequestOptions(tokenRequestOptions) .build()) .addOnSuccessListener(result -> { activityResultLauncher.launch( result.getPendingIntent().getIntentSender()); }) .addOnFailureListener(e -> { Log.e(TAG, "Sign-in failed because:", e); });
Kimlik jetonunun bütünlüğünü doğrulama
Jetonun geçerli olduğunu doğrulamak için aşağıdaki ölçütlerin karşılandığından emin olun:
- Kimlik jetonu Google tarafından gerektiği gibi imzalanmıştır. Jetonun imzasını doğrulamak için Google'ın ortak anahtarlarını (JWK veya PEM biçiminde mevcuttur) kullanın. Bu anahtarlara düzenli olarak rotasyon uygulanır. Bunları tekrar ne zaman almanız gerektiğini belirlemek için yanıttaki
Cache-Control
üst bilgisini inceleyin. - Kimlik jetonundaki
aud
değeri, uygulamanızın istemci kimliklerinden birine eşit. Bu kontrol, kötü amaçlı bir uygulamaya verilen kimlik jetonlarının, uygulamanızın arka uç sunucusunda aynı kullanıcıyla ilgili verilere erişmek amacıyla kullanılmasını önlemek için gereklidir. - Kimlik jetonundaki
iss
değeri şuna eşit:accounts.google.com
veyahttps://accounts.google.com
. - Kimlik jetonunun süre sonu (
exp
) geçmedi. - Kimlik jetonunun bir Google Workspace veya Cloud kuruluş hesabını temsil ettiğini doğrulamanız gerekiyorsa kullanıcının barındırılan alanını belirten
hd
hak talebini kontrol edebilirsiniz. Bu, bir kaynağa erişimi yalnızca belirli alanların üyeleriyle kısıtlarken kullanılmalıdır. Bu iddianın olmaması, hesabın Google tarafından barındırılan bir alana ait olmadığını gösterir.
Bu doğrulama adımlarını gerçekleştirmek için kendi kodunuzu yazmak yerine platformunuz için bir Google API istemci kitaplığı veya genel amaçlı bir JWT kitaplığı kullanmanızı kesinlikle öneririz. Geliştirme ve hata ayıklama için tokeninfo
doğrulama uç noktamızı çağırabilirsiniz.
Google API İstemci Kitaplığı Kullanma
Üretim ortamındaki Google kimliği jetonlarını doğrulamak için Java Google API İstemci Kitaplığı'nın kullanılması önerilen yöntemdir.
Java
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;
...
GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
// Specify the CLIENT_ID of the app that accesses the backend:
.setAudience(Collections.singletonList(CLIENT_ID))
// Or, if multiple clients access the backend:
//.setAudience(Arrays.asList(CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3))
.build();
// (Receive idTokenString by HTTPS POST)
GoogleIdToken idToken = verifier.verify(idTokenString);
if (idToken != null) {
Payload payload = idToken.getPayload();
// Print user identifier
String userId = payload.getSubject();
System.out.println("User ID: " + userId);
// Get profile information from payload
String email = payload.getEmail();
boolean emailVerified = Boolean.valueOf(payload.getEmailVerified());
String name = (String) payload.get("name");
String pictureUrl = (String) payload.get("picture");
String locale = (String) payload.get("locale");
String familyName = (String) payload.get("family_name");
String givenName = (String) payload.get("given_name");
// Use or store profile information
// ...
} else {
System.out.println("Invalid ID token.");
}
GoogleIdTokenVerifier.verify()
yöntemi, JWT imzasını, aud
talebini, iss
talebini ve bunlarla ilgiliexp
hak talebini doğrular.
Kimlik jetonunun bir Google Workspace veya Cloud kuruluş hesabını temsil ettiğini doğrulamanız gerekiyorsa Payload.getHostedDomain()
yöntemiyle döndürülen alan adını kontrol ederek hd
talebini doğrulayabilirsiniz.
Jetonbilgi uç noktasını çağırma
Hata ayıklama için kimlik jetonu imzasını doğrulamanın kolay bir yolu, tokeninfo
uç noktasını kullanmaktır. Bu uç noktanın çağrılması, kendi kodunuzda doğru doğrulamayı ve yük ayıklamayı test ederken doğrulamanın büyük kısmını sizin için yapan ek bir ağ isteği içerir. İstekler kısıtlanabileceği veya başka şekilde aralıklı hatalara maruz kalabileceğinden üretim kodunda kullanıma uygun değildir.
tokeninfo
uç noktasını kullanarak kimlik jetonunu doğrulamak için uç noktaya bir HTTPS POST veya GET isteği gönderin ve kimlik jetonunuzu id_token
parametresinde iletin.
Örneğin, "XYZ123" jetonunu doğrulamak için aşağıdaki GET isteğini yapın:
https://oauth2.googleapis.com/tokeninfo?id_token=XYZ123
Jeton düzgün şekilde imzalandıysa ve iss
ile exp
hak talepleri beklenen değerleri içeriyorsa bir HTTP 200 yanıtı alırsınız. Burada, gövde JSON biçimli kimlik jetonu taleplerini içerir.
Aşağıda örnek bir yanıt verilmiştir:
{ // These six fields are included in all Google ID Tokens. "iss": "https://accounts.google.com", "sub": "110169484474386276334", "azp": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com", "aud": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com", "iat": "1433978353", "exp": "1433981953", // These seven fields are only included when the user has granted the "profile" and // "email" OAuth scopes to the application. "email": "testuser@gmail.com", "email_verified": "true", "name" : "Test User", "picture": "https://lh4.googleusercontent.com/-kYgzyAWpZzJ/ABCDEFGHI/AAAJKLMNOP/tIXL9Ir44LE/s99-c/photo.jpg", "given_name": "Test", "family_name": "User", "locale": "en" }
Kimlik jetonunun bir Google Workspace hesabını temsil ettiğini doğrulamanız gerekiyorsa kullanıcının barındırılan alanını belirten hd
hak talebini kontrol edebilirsiniz. Bu, bir kaynağa erişimi yalnızca belirli alanların üyeleriyle kısıtlarken kullanılmalıdır. Bu iddianın olmaması hesabın Google Workspace tarafından barındırılan bir alana ait olmadığını gösterir.