Nesta página, descrevemos a implementação do Google como um provedor do OpenID Connect e fornecemos a referência técnica para os endpoints do OIDC do Google. A especificação OpenID Connect (OIDC) Core 1.0 (em inglês) define o protocolo para autenticar usuários e receber informações de identidade.
Esta referência não tem o objetivo de fornecer instruções detalhadas sobre como implementar o OIDC. Para detalhes da implementação, consulte o guia OpenID Connect.
Documento de descoberta
O documento de descoberta contém metadados sobre a configuração do OpenID Connect do Google, conforme definido na especificação OpenID Connect Discovery 1.0.
URL:https://accounts.google.com/.well-known/openid-configuration
Método de solicitação compatível:GET
Corpo da resposta
Os campos de resposta são retornados em um objeto JSON no corpo da resposta HTTP à solicitação GET do solicitante para https://accounts.google.com/.well-known/openid-configuration.
| Campo | Tipo | Descrição |
|---|---|---|
issuer |
string |
O identificador do emissor. URL sensível a maiúsculas e minúsculas usando o esquema https. O valor moderno é https://accounts.google.com. No entanto, accounts.google.com também é retornado para implementações legadas. |
authorization_endpoint |
string |
O URL do endpoint de autorização. |
device_authorization_endpoint |
string |
O URL do endpoint de autorização do dispositivo. |
token_endpoint |
string |
O URL do endpoint de token. |
userinfo_endpoint |
string |
O URL do endpoint UserInfo. |
revocation_endpoint |
string |
O URL do endpoint de revogação. |
jwks_uri |
string |
O URL do documento do conjunto de chaves da Web JSON (JWKS). |
response_types_supported |
array |
Uma lista de valores response_type compatíveis. |
response_modes_supported |
array |
Uma lista de valores response_mode compatíveis. |
authorization_response_iss_parameter_supported |
boolean |
Booleano que indica suporte para RFC 9207. |
subject_types_supported |
array |
Uma lista de tipos de identificadores de assunto compatíveis. |
id_token_signing_alg_values_supported |
array |
Uma lista de algoritmos compatíveis para assinar o token de ID. |
scopes_supported |
array |
Uma lista de valores de escopo compatíveis. |
claims_supported |
array |
Uma lista de reivindicações aceitas. |
token_endpoint_auth_methods_supported |
array |
Uma lista de métodos de autenticação compatíveis com o endpoint de token. |
code_challenge_methods_supported |
array |
Uma lista de métodos de desafio de código compatíveis com PKCE. |
grant_types_supported |
array |
Uma lista de tipos de concessão do OAuth 2.0 compatíveis. |
Token de ID (reivindicações)
O valor id_token retornado nas respostas é um JSON Web Token (JWT) assinado que
precisa ser verificado usando o material de chaves obtido do jwks_uri encontrado no
Documento de descoberta. A tabela a seguir descreve o conteúdo da
carga útil do token de ID decodificada.
| Reivindicar | Tipo | Descrição |
|---|---|---|
iss |
string |
Obrigatório. O identificador do emissor para o emissor da resposta. Normalmente https://accounts.google.com, mas accounts.google.com também é retornado para implementações legadas. |
sub |
string |
Obrigatório. Um identificador para o usuário, exclusivo entre todas as Contas do Google e nunca reutilizado. Uma Conta do Google pode ter vários endereços de e-mail em diferentes momentos, mas o valor sub nunca é alterado. Use sub no seu aplicativo como a chave de identificador único do usuário. Comprimento máximo de 255 caracteres ASCII sensíveis a maiúsculas e minúsculas. |
azp |
string |
O identificador do cliente do apresentador autorizado, obtido no Console do Google Cloud. Essa declaração só é necessária quando a parte que solicita o token de ID não é a mesma que o público-alvo do token de ID. |
aud |
string |
Obrigatório. O público-alvo a que o token de ID se destina. Esse é o identificador do cliente do seu aplicativo, obtido no console do Google Cloud. |
iat |
integer |
Obrigatório. A hora em que o token de ID foi emitido. Representado no tempo da época Unix (segundos inteiros). |
exp |
integer |
Obrigatório. O prazo de validade em ou após o qual o token de ID não pode ser aceito. Representado no tempo da época Unix (segundos inteiros). |
nonce |
string |
O valor do nonce fornecido pelo seu app na solicitação de autenticação. Proteja-se contra ataques de repetição apresentando esse valor apenas uma vez. |
auth_time |
integer |
O momento em que a autenticação do usuário ocorreu, um número JSON que representa o número de segundos decorridos desde a época Unix (1º de janeiro de 1970, 00:00:00 UTC). Fornecido quando a declaração auth_time é incluída no parâmetro claims da solicitação de autenticação. |
at_hash |
string |
Hash do token de acesso. Fornece validação de que o token de acesso está vinculado ao token de identidade. Se o token de ID for emitido com um valor access_token no fluxo do servidor, essa declaração sempre será incluída. |
email |
string |
O endereço de e-mail do usuário. Fornecido somente se você incluiu o escopo email na solicitação. O valor dessa declaração pode não ser exclusivo da conta e pode mudar com o tempo. Portanto, não use esse valor como o identificador principal para vincular ao registro do usuário. Além disso, não é possível usar o domínio da declaração email para identificar usuários de organizações do Google Workspace ou do Cloud. Use a declaração hd. Aviso:não use o endereço de e-mail como identificador porque uma Conta do Google pode ter vários endereços de e-mail em diferentes momentos. Sempre use o campo sub como identificador do usuário. |
email_verified |
boolean |
Verdadeiro se o endereço de e-mail do usuário tiver sido verificado. Caso contrário, será falso. |
name |
string |
O nome completo do usuário em formato de exibição. Pode ser fornecido quando o escopo da solicitação inclui a string profile ou quando o token de ID é retornado de uma atualização de token. |
picture |
string |
O URL da foto do perfil do usuário. Pode ser fornecido quando o escopo da solicitação inclui a string profile ou quando o token de ID é retornado de uma atualização de token. |
given_name |
string |
O nome do usuário. Pode ser fornecido quando houver uma reivindicação de name. |
family_name |
string |
O(s) sobrenome(s) do usuário. Pode ser fornecido quando houver uma reivindicação de name. |
hd |
string |
O domínio associado à organização do Google Workspace ou do Cloud do usuário. Fornecido somente se o usuário pertencer a uma organização do Google Cloud. Você precisa verificar essa declaração ao restringir o acesso a um recurso apenas a membros de determinados domínios. A ausência dessa declaração indica que a conta não pertence a um domínio hospedado pelo Google. |
Endpoint de autorização
O endpoint de autorização é usado para autenticar o usuário e receber um código de autorização ou tokens.
URL:https://accounts.google.com/o/oauth2/v2/auth
Métodos de solicitação aceitos:GET, POST
Parâmetros de solicitação
| Parâmetro | Tipo | Obrigatório | Descrição |
|---|---|---|---|
client_id |
string |
Obrigatório | A string do identificador do cliente que você recebe do console do Google Cloud. |
nonce |
string |
Opcional | Um valor aleatório gerado pelo app que ativa a proteção contra repetição. Obrigatório apenas se você estiver solicitando um token de ID (quando response_type inclui id_token). |
response_type |
string |
Obrigatório | Determina o fluxo a ser usado. Se o valor for code, vai iniciar um fluxo de código de autorização, exigindo um POST para o endpoint de token e conseguir os tokens. Se o valor for token, id_token, token id_token ou id_token token, um fluxo implícito será iniciado, exigindo o uso de JavaScript no URI de redirecionamento para recuperar tokens do fragmento de URI. Não recomendamos usar token de forma alguma, porque isso expõe tokens de acesso no URL. Esse valor é proibido no OAuth 2.1. |
response_mode |
string |
Opcional | Especifica como a resposta de autorização é entregue. Se o response_type for code, o padrão será query. Para outros tipos de resposta, o padrão é fragment. Valores aceitos: query, fragment e form_post. |
redirect_uri |
string |
Obrigatório | Determina para onde a resposta é enviada. O valor desse parâmetro precisa corresponder exatamente a um dos valores de redirecionamento autorizados definidos no console do Google Cloud, incluindo o esquema HTTP ou HTTPS, o uso de maiúsculas e minúsculas e a barra final "/", se houver. Os URIs de redirecionamento e as origens JavaScript autorizadas precisam seguir as regras de validação descritas na documentação Validação de URI do OAuth 2.0. |
scope |
string |
Obrigatório | Uma lista não ordenada de escopos delimitada por espaço. A lista precisa incluir o valor openid e, em seguida, o valor profile, email ou ambos. Também é possível incluir escopos que não são do OIDC. Se o valor do escopo profile estiver presente, o token de ID poderá incluir (mas não há garantia) as declarações profile padrão do usuário. Se o valor do escopo email estiver presente, o token de ID vai incluir as declarações email e email_verified. Para mais informações, consulte Escopos do OAuth 2.0. |
state |
string |
Recomendado | Uma string opaca que é enviada e recebida no protocolo. Ou seja, ela é retornada como um parâmetro de URI no fluxo do código de autorização e no fragmento de URI no fluxo implícito. O state pode ser útil para correlacionar solicitações e respostas. Como seu redirect_uri pode ser adivinhado, usar um valor state aumenta a garantia de que uma conexão recebida é resultado de uma solicitação de autenticação iniciada pelo app. Isso oferece proteção contra ataques como falsificação de solicitação entre sites. |
access_type |
string |
Opcional | Os valores permitidos são offline e online. Se o aplicativo precisar atualizar os tokens de acesso quando o usuário não estiver no navegador, use offline. Esse valor é necessário para receber um token de atualização. |
hd |
string |
Opcional | Simplifique o processo de login para contas de uma organização do Google Cloud. Ao incluir o domínio da organização do Google Cloud (por exemplo, mycollege.edu), você indica que a interface de seleção de contas deve ser otimizada para contas nesse domínio. Para otimizar as contas da organização do Google Cloud em geral em vez de apenas um domínio da organização do Google Cloud, defina um valor de asterisco (*): hd=*. |
login_hint |
string |
Opcional | Quando o app sabe qual usuário ele está tentando autenticar, é possível fornecer esse parâmetro como uma dica para o servidor de autenticação. Transmitir essa dica suprime o Seletor de conta e preenche previamente a caixa de e-mail no formulário de login ou seleciona a sessão adequada, o que pode ajudar a evitar problemas que ocorrem se o app fizer login na conta de usuário errada. O valor pode ser um endereço de e-mail ou a string sub, que é equivalente ao ID do Google do usuário. |
prompt |
string |
Opcional | Uma lista delimitada por espaços de valores de string que especifica se o servidor de autorização solicita que o usuário faça a reautenticação e dê consentimento. Valores possíveis: none (sem interface), consent (solicitar consentimento), select_account (solicitar seleção de conta). |
hl |
string |
Opcional | Uma tag de idioma BCP 47 usada para especificar o idioma de exibição das telas de login, seletor de contas e consentimento. O uso desse parâmetro não é recomendado, já que as configurações do navegador e as preferências da Conta do Google geralmente são indicadores melhores da preferência de idioma do usuário. |
include_granted_scopes |
boolean |
Opcional | Se esse parâmetro for fornecido com o valor true e a solicitação de autorização for concedida, a autorização vai incluir todas as autorizações anteriores concedidas a essa combinação de usuário/aplicativo para outros escopos. Consulte Autorização incremental. |
claims |
object |
Opcional | O parâmetro "claims" é usado para especificar um ou mais campos opcionais a serem incluídos na resposta UserInfo ou no token de ID. Para solicitar a declaração auth_time, use claims={\"id_token\":{\"auth_time\":{\"essential\":true}}}. |
Parâmetros de resposta
A resposta de autorização é entregue ao URI de redirecionamento do cliente
(redirect_uri) usando um redirecionamento HTTP GET. Os parâmetros de resposta são anexados ao URI de redirecionamento na string de consulta ou no fragmento do URL, dependendo do response_type e do response_mode.
| Parâmetro | Tipo | Descrição |
|---|---|---|
iss |
string |
O identificador do emissor. De acordo com a RFC 9207, esse parâmetro é sempre retornado e definido como https://accounts.google.com. |
code |
string |
O código de autorização que pode ser trocado por um token de acesso e um token de ID. |
state |
string |
O mesmo valor do parâmetro state da solicitação. |
id_token |
string |
Um JSON Web Token (JWT) que contém informações de identidade sobre o usuário. |
access_token |
string |
O token de acesso que pode ser enviado a uma API do Google. |
token_type |
string |
O tipo de token retornado. Sempre Bearer. |
expires_in |
integer |
A vida útil do token de acesso em segundos, em relação ao momento em que ele foi emitido. |
scope |
string |
Os escopos de acesso concedidos pelo code ou access_token expressos como uma lista de strings delimitadas por espaço e sensíveis a maiúsculas e minúsculas. |
error |
string |
Um código de erro se a solicitação falhar. |
error_description |
string |
Uma descrição do erro se a solicitação falhar. |
Respostas de erro
Para o endpoint de autorização, os erros são retornados ao redirect_uri do cliente como parâmetros na string de consulta ou no fragmento do URL, ou exibidos ao usuário como uma página de erro hospedada pelo Google.
Erros redirecionados
Os seguintes códigos de erro podem ser retornados ao seu redirect_uri:
| Erro | Descrição |
|---|---|
access_denied |
O usuário ou o servidor de autorização negou a solicitação. |
invalid_request |
A solicitação não tem um parâmetro obrigatório, inclui um valor de parâmetro inválido, inclui um parâmetro mais de uma vez ou está malformada. |
unauthorized_client |
O cliente não está autorizado a solicitar um código de autorização usando esse método. |
unsupported_response_type |
O servidor de autorização não oferece suporte à obtenção de um código de autorização usando esse método. |
invalid_scope |
O escopo solicitado é inválido, desconhecido ou está incorreto. |
Erros para o usuário
Em alguns casos, como quando o client_id ou o redirect_uri é inválido, o
servidor de autorização não pode redirecionar o usuário de volta ao seu aplicativo com segurança.
Nesses casos, uma página de erro é mostrada diretamente ao usuário.
| Erro | Descrição |
|---|---|
admin_policy_enforced |
A Conta do Google não pode autorizar um ou mais escopos solicitados devido às políticas do admin do Google Workspace. Consulte o artigo de ajuda do admin do Google Workspace para saber como um administrador pode restringir o acesso até que ele seja concedido explicitamente ao identificador do cliente OAuth. |
disallowed_useragent |
O endpoint de autorização é mostrado em um user agent incorporado proibido pelas políticas do OAuth 2.0 do Google. |
org_internal |
O identificador do cliente OAuth na solicitação faz parte de um projeto que limita o acesso a contas do Google em uma organização do Google Cloud específica. |
deleted_client |
O cliente OAuth usado para fazer a solicitação foi excluído. A exclusão pode acontecer de forma manual ou automática no caso de clientes não utilizados. |
invalid_grant |
O parâmetro code_challenge é inválido ou está ausente ao usar PKCE. Ao atualizar um token de acesso ou usar a autorização incremental, o token pode ter expirado, sido invalidado ou a conta de usuário pode ter sido excluída ou desativada. |
redirect_uri_mismatch |
O redirect_uri transmitido na solicitação não corresponde a um URI de redirecionamento autorizado para o identificador do cliente. Revise os URIs de redirecionamento autorizados no Console do Google Cloud. Esse erro também pode ocorrer se a solicitação usar o fluxo OAuth fora da banda (OOB) descontinuado. |
invalid_client |
A origem de onde a solicitação foi feita não está autorizada para esse cliente, a configuração do cliente está incorreta ou a chave secreta do cliente OAuth está incorreta. |
origin_mismatch |
O esquema, o domínio e/ou a porta do JavaScript que originou a solicitação de autorização não correspondem a um URI de origem JavaScript autorizado registrado para o identificador do cliente OAuth. Revise as origens JavaScript autorizadas no console do Google Cloud. |
invalid_request |
Algo deu errado com a solicitação. Isso pode ocorrer devido a uma solicitação malformada, à falta de parâmetros obrigatórios ou ao uso de um método de autorização não aceito pelo Google. |
Endpoint do token
O endpoint de token é usado para trocar um código de autorização por um token de acesso e um token de ID.
URL:https://oauth2.googleapis.com/token
Método de solicitação compatível:POST
Parâmetros de solicitação (concessão do código de autorização)
| Parâmetro | Tipo | Obrigatório | Descrição |
|---|---|---|---|
code |
string |
Obrigatório | O código de autorização recebido do endpoint de autorização. |
client_id |
string |
Obrigatório | O identificador do cliente do seu aplicativo, obtido no Console do Google Cloud. |
client_secret |
string |
Obrigatório | A chave secreta do cliente do seu aplicativo, obtida no console do Google Cloud. |
redirect_uri |
string |
Obrigatório | O URI de redirecionamento usado na solicitação de autorização inicial. Os URIs de redirecionamento e as origens JavaScript autorizadas precisam seguir as regras de validação descritas na documentação Validação de URI do OAuth 2.0. |
grant_type |
string |
Obrigatório | Precisa ser definido como authorization_code. |
Parâmetros de solicitação (fluxo de dispositivo)
| Parâmetro | Tipo | Obrigatório | Descrição |
|---|---|---|---|
client_id |
string |
Obrigatório | O identificador do cliente do seu aplicativo, obtido no Console do Google Cloud. |
client_secret |
string |
Obrigatório | A chave secreta do cliente do seu aplicativo, obtida no console do Google Cloud. |
device_code |
string |
Obrigatório | O device_code retornado pelo endpoint de autorização do dispositivo. |
grant_type |
string |
Obrigatório | Precisa ser definido como urn:ietf:params:oauth:grant-type:device_code. |
Parâmetros de solicitação (atualização de um token de acesso)
| Parâmetro | Tipo | Obrigatório | Descrição |
|---|---|---|---|
client_id |
string |
Obrigatório | O identificador do cliente do seu aplicativo, obtido no Console do Google Cloud. |
client_secret |
string |
Obrigatório | A chave secreta do cliente do seu aplicativo, obtida no console do Google Cloud. |
grant_type |
string |
Obrigatório | Precisa ser definido como refresh_token, conforme definido na especificação Tokens de atualização do OpenID Connect. |
refresh_token |
string |
Obrigatório | O token de atualização retornado da troca do código de autorização. |
scope |
string |
Opcional | Uma lista de escopos delimitada por espaço solicitada para o novo token de acesso. Os escopos solicitados precisam ser um subconjunto dos escopos concedidos na solicitação de autorização original. |
Corpo da resposta
Os campos de resposta são retornados em um objeto JSON no corpo da resposta HTTP à solicitação POST do solicitante para https://oauth2.googleapis.com/token.
| Campo | Tipo | Descrição |
|---|---|---|
access_token |
string |
O token de acesso que pode ser enviado a uma API do Google. |
expires_in |
integer |
A vida útil do token de acesso em segundos, em relação ao momento em que ele foi emitido. |
id_token |
string |
Um JSON Web Token (JWT) que contém informações de identidade sobre o usuário. Esse token é retornado durante a troca inicial do código de autorização e também pode ser retornado durante uma solicitação de token de atualização se o escopo openid tiver sido concedido. |
scope |
string |
Os escopos de acesso concedidos pelo access_token, expressos como uma lista de strings delimitadas por espaço e sensíveis a maiúsculas e minúsculas. |
token_type |
string |
O tipo de token retornado. Sempre Bearer. |
refresh_token |
string |
(Opcional) Um token que pode ser usado para receber novos tokens de acesso. Esse campo só é retornado na troca inicial de um código de autorização se access_type=offline foi solicitado. |
refresh_token_expires_in |
integer |
(Opcional) O tempo restante de vida útil do token de atualização em segundos. Esse valor só é definido quando o usuário concede acesso por tempo. |
Respostas de erro
Se a solicitação falhar, o servidor de autorização vai retornar um objeto JSON com os seguintes campos:
| Campo | Tipo | Descrição |
|---|---|---|
error |
string |
Um código de erro. |
error_description |
string |
Uma descrição do erro se a solicitação falhar. |
A tabela a seguir descreve os possíveis códigos de erro e os códigos de status HTTP associados:
| Erro | Código de status HTTP | Descrição |
|---|---|---|
invalid_request |
400 |
A solicitação não tem um parâmetro obrigatório, inclui um valor de parâmetro inválido ou está incorreta. |
invalid_client |
401 |
A autenticação do cliente falhou. Por exemplo, o client_id ou client_secret é inválido, ou o tipo de cliente está incorreto. |
invalid_grant |
400 |
O código de autorização, o token de atualização ou o código do dispositivo fornecido é inválido, expirou, foi revogado ou não corresponde ao URI de redirecionamento usado na solicitação de autorização. |
unauthorized_client |
400 |
O cliente autenticado não tem autorização para usar esse tipo de concessão de autorização. |
unsupported_grant_type |
400 |
O tipo de concessão de autorização não é compatível com o servidor de autorização. |
invalid_scope |
400 |
O escopo solicitado é inválido, desconhecido ou está incorreto. |
authorization_pending |
428 |
(Fluxo de dispositivo) O usuário ainda não concluiu o fluxo de autorização. |
slow_down |
429 |
(Fluxo de dispositivo) O dispositivo está enviando solicitações de sondagem com muita frequência. |
access_denied |
403 |
(Fluxo de dispositivo) O usuário se recusou a conceder acesso ao dispositivo. |
expired_token |
400 |
(Fluxo de dispositivo) O device_code expirou. |
admin_policy_enforced |
400 |
O usuário não pode autorizar os escopos solicitados devido às políticas aplicadas pelo admin do Google Workspace. |
org_internal |
403 |
O identificador do cliente faz parte de um projeto que limita o acesso a uma organização específica do Google Cloud. |
Endpoint de autorização do dispositivo
O endpoint de autorização de dispositivo é usado no fluxo de dispositivo do OAuth 2.0 para receber um código de usuário e um URL de verificação para dispositivos com recursos de entrada limitados.
URL:https://oauth2.googleapis.com/device/code
Método de solicitação compatível:POST
Parâmetros de solicitação
| Parâmetro | Tipo | Obrigatório | Descrição |
|---|---|---|---|
client_id |
string |
Obrigatório | O identificador do cliente do seu aplicativo, obtido no Console do Google Cloud. |
scope |
string |
Obrigatório | A lista de escopos delimitada por espaços que identificam os recursos que seu aplicativo pode acessar em nome do usuário. |
Corpo da resposta
A resposta é um objeto JSON que contém os seguintes campos:
| Campo | Tipo | Descrição |
|---|---|---|
device_code |
string |
Um valor que o Google atribui exclusivamente para identificar o dispositivo que executa o app solicitante de autorização. |
user_code |
string |
Um valor sensível a maiúsculas e minúsculas que identifica ao Google os escopos a que o aplicativo está solicitando acesso. Sua interface do usuário vai instruir o usuário a inserir esse valor em um dispositivo separado com recursos de entrada mais avançados. |
verification_url |
string |
Um URL que o usuário precisa acessar em um dispositivo separado para inserir o user_code e conceder ou negar acesso ao seu aplicativo. |
expires_in |
integer |
O período, em segundos, em que device_code e user_code são válidos. |
interval |
integer |
O tempo, em segundos, que seu dispositivo deve esperar entre as solicitações de pesquisa. |
Endpoint de revogação
O endpoint de revogação permite que seu aplicativo revogue um token de acesso ou um token de atualização.
URL:https://oauth2.googleapis.com/revoke
Método de solicitação compatível:POST
Parâmetros de solicitação
| Parâmetro | Tipo | Obrigatório | Descrição |
|---|---|---|---|
token |
string |
Obrigatório | O token de acesso ou de atualização que você quer revogar. |
Corpo da resposta
Se a revogação for bem-sucedida, a resposta será um HTTP 200 OK vazio. Se a
revogação falhar, uma resposta de erro será retornada em um objeto JSON.
| Campo | Tipo | Descrição |
|---|---|---|
error |
string |
Um código de erro se a solicitação falhar. |
error_description |
string |
Uma descrição do erro se a solicitação falhar. |
A tabela a seguir descreve os possíveis códigos de erro:
| Erro | Descrição |
|---|---|
invalid_token |
O token fornecido na solicitação já expirou ou foi revogado. |
invalid_request |
A solicitação não tem um parâmetro obrigatório, inclui um valor de parâmetro inválido ou está incorreta. |
Endpoint UserInfo
O endpoint UserInfo retorna informações de perfil sobre o usuário autenticado.
URL:https://openidconnect.googleapis.com/v1/userinfo
Métodos de solicitação aceitos:GET, POST
Cabeçalhos de solicitação
| Cabeçalho | Descrição |
|---|---|
Authorization |
Obrigatório. Precisa ser definido como Bearer: access_token. |
Corpo da resposta
Os campos de resposta são retornados em um objeto JSON no corpo da resposta HTTP à solicitação GET ou POST do solicitante para https://openidconnect.googleapis.com/v1/userinfo.
| Campo | Tipo | Descrição |
|---|---|---|
sub |
string |
Obrigatório. Um identificador para o usuário, exclusivo entre todas as Contas do Google e nunca reutilizado. String sensível a maiúsculas e minúsculas que não excede 255 caracteres. |
name |
string |
O nome completo do usuário em formato de exibição. |
given_name |
string |
O nome do usuário. |
family_name |
string |
O(s) sobrenome(s) do usuário. |
picture |
string |
O URL da foto do perfil do usuário. |
email |
string |
O endereço de e-mail do usuário. |
email_verified |
boolean |
Indica se o endereço de e-mail do usuário foi verificado. |
hd |
string |
O domínio hospedado associado à organização do Google Workspace ou do Cloud do usuário. |
Endpoint tokeninfo
O endpoint tokeninfo é uma implementação específica do Google usada para validar um
token de ID para fins de depuração.
URL:https://oauth2.googleapis.com/tokeninfo
Métodos de solicitação aceitos:GET, POST
Parâmetros de solicitação
| Parâmetro | Tipo | Obrigatório | Descrição |
|---|---|---|---|
id_token |
string |
Obrigatório | O token de ID a ser validado. |
Corpo da resposta
Os campos de resposta são retornados em um objeto JSON no corpo da resposta HTTP à solicitação GET ou POST do solicitante para https://oauth2.googleapis.com/tokeninfo.
| Campo | Tipo | Descrição |
|---|---|---|
iss |
string |
O identificador do emissor. Sempre https://accounts.google.com. |
sub |
string |
Um identificador para o usuário, exclusivo entre todas as Contas do Google e nunca reutilizado. |
aud |
string |
O público-alvo a que o token de ID se destina. Esse é o identificador do cliente do seu aplicativo, obtido no console do Google Cloud. |
iat |
integer |
Hora em que o JWT foi emitido. Representado como o número de segundos desde 1970-01-01T0:0:0Z, medido em UTC. |
exp |
integer |
Tempo de expiração em ou após o qual o token de ID não deve ser aceito para processamento. Representado como o número de segundos desde 1970-01-01T0:0:0Z, medido em UTC. |
email |
string |
O endereço de e-mail do usuário. |
email_verified |
string |
Indica se o endereço de e-mail do usuário foi verificado. O valor é uma string "true" ou "false". |
access_type |
string |
O tipo de acesso solicitado na solicitação de autorização original. |
azp |
string |
O identificador do cliente do apresentador autorizado, obtido no Console do Google Cloud. |
scope |
string |
A lista de escopos concedidos ao token, delimitada por espaços. |
alg |
string |
O algoritmo usado para assinar o token de ID. |
kid |
string |
O ID da chave usado para assinar o token de ID. |
typ |
string |
O tipo de token. Sempre JWT. |