Koneksi OpenID

Titik akhir OpenID Connect Google adalah OpenID Certified.

OAuth 2.0 API Google dapat digunakan untuk autentikasi dan otorisasi. Dokumen ini menjelaskan implementasi OAuth 2.0 kami untuk autentikasi, yang sesuai dengan spesifikasi OpenID Connect , dan Bersertifikat OpenID . Dokumentasi yang ditemukan di Menggunakan OAuth 2.0 untuk Mengakses Google API juga berlaku untuk layanan ini. Jika Anda ingin menjelajahi protokol ini secara interaktif, kami merekomendasikan Google OAuth 2.0 Playground . Untuk mendapatkan bantuan tentang Stack Overflow , tandai pertanyaan Anda dengan 'google-oauth'.

Menyiapkan OAuth 2.0

Sebelum aplikasi Anda dapat menggunakan sistem autentikasi OAuth 2.0 Google untuk login pengguna, Anda harus menyiapkan proyek di Google API Console untuk mendapatkan kredensial OAuth 2.0, menyetel URI pengalihan, dan (opsional) menyesuaikan informasi pencitraan merek yang dilihat pengguna Anda di layar persetujuan pengguna. Anda juga dapat menggunakan API Console untuk membuat akun layanan, mengaktifkan penagihan, menyiapkan pemfilteran, dan melakukan tugas lainnya. Untuk detail selengkapnya, lihat BantuanGoogle API Console .

Dapatkan kredensial OAuth 2.0

Anda memerlukan kredensial OAuth 2.0, termasuk ID klien dan rahasia klien, untuk mengautentikasi pengguna dan mendapatkan akses ke API Google.

To view the client ID and client secret for a given OAuth 2.0 credential, click the following text: Select credential. In the window that opens, choose your project and the credential you want, then click View.

Or, view your client ID and client secret from the Credentials page in API Console:

  1. Go to the Credentials page.
  2. Click the name of your credential or the pencil () icon. Your client ID and secret are at the top of the page.

Setel URI pengalihan

URI pengalihan yang Anda tetapkan di API Console menentukan tempat Google mengirim tanggapan atas permintaan autentikasi Anda .

Untuk membuat, melihat, atau mengedit URI redirect untuk kredensial OAuth 2.0 yang diberikan, lakukan hal berikut:

  1. Go to the Credentials page.
  2. Di bagian OAuth 2.0 klien ID halaman, klik kredensial.
  3. Lihat atau edit URI pengalihan.

Jika tidak ada bagian ID klien OAuth 2.0 di halaman Kredensial, maka proyek Anda tidak memiliki kredensial OAuth. Untuk membuatnya, klik Buat kredensial .

Sesuaikan layar persetujuan pengguna

Untuk pengguna Anda, pengalaman autentikasi OAuth 2.0 menyertakan layar izin yang menjelaskan informasi yang dirilis pengguna dan persyaratan yang berlaku. Misalnya, saat pengguna masuk, mereka mungkin diminta untuk memberikan aplikasi Anda akses ke alamat email dan informasi akun dasar mereka. Anda meminta akses ke informasi ini menggunakan parameter scope , yang disertakan aplikasi Anda dalam permintaan autentikasinya . Anda juga dapat menggunakan cakupan untuk meminta akses ke Google API lainnya.

Layar persetujuan pengguna juga menyajikan informasi pencitraan merek seperti nama produk, logo, dan URL beranda Anda. Anda mengontrol informasi branding di API Console.

Untuk mengaktifkan layar persetujuan proyek Anda:

  1. Buka Consent Screen page di Google API Console .
  2. If prompted, select a project, or create a new one.
  3. Isi formulir dan klik Simpan .

Dialog izin berikut menunjukkan apa yang akan dilihat pengguna saat kombinasi cakupan OAuth 2.0 dan Google Drive ada dalam permintaan. (Dialog umum ini dibuat menggunakan Google OAuth 2.0 Playground , sehingga tidak menyertakan informasi pencitraan merek yang akan disetel di API Console.)

Tangkapan layar halaman persetujuan

Mengakses layanan

Google dan pihak ketiga menyediakan pustaka yang dapat Anda gunakan untuk menangani banyak detail implementasi dalam mengautentikasi pengguna dan mendapatkan akses ke Google API. Contohnya termasuk Google Sign-In dan pustaka klien Google , yang tersedia untuk berbagai platform.

Jika Anda memilih untuk tidak menggunakan pustaka, ikuti instruksi di sisa dokumen ini, yang menjelaskan alur permintaan HTTP yang mendasari pustaka yang tersedia.

Mengautentikasi pengguna

Otentikasi pengguna melibatkan memperoleh token ID dan memvalidasinya. Token ID adalah fitur standar OpenID Connect yang dirancang untuk digunakan dalam berbagi pernyataan identitas di Internet.

Pendekatan yang paling umum digunakan untuk mengautentikasi pengguna dan memperoleh token ID disebut aliran "server" dan aliran "implisit". Alur server memungkinkan server back-end aplikasi untuk memverifikasi identitas orang tersebut menggunakan browser atau perangkat seluler. Alur implisit digunakan saat aplikasi sisi klien (biasanya aplikasi JavaScript yang berjalan di browser) perlu mengakses API secara langsung, bukan melalui server back-endnya.

Dokumen ini menjelaskan cara melakukan aliran server untuk mengautentikasi pengguna. Aliran implisit secara signifikan lebih rumit karena risiko keamanan dalam menangani dan menggunakan token di sisi klien. Jika Anda perlu menerapkan alur implisit, kami sangat menyarankan Anda menggunakan Google Sign-In .

Aliran server

Pastikan Anda menyiapkan aplikasi di API Console untuk memungkinkannya menggunakan protokol ini dan mengautentikasi pengguna Anda. Saat pengguna mencoba masuk dengan Google, Anda harus:

  1. Buat token negara anti-pemalsuan
  2. Kirim permintaan autentikasi ke Google
  3. Konfirmasikan token status anti-pemalsuan
  4. Tukar code untuk token akses dan token ID
  5. Dapatkan informasi pengguna dari token ID
  6. Otentikasi pengguna

1. Buat token negara anti-pemalsuan

Anda harus melindungi keamanan pengguna Anda dengan mencegah serangan pemalsuan permintaan. Langkah pertama adalah membuat token sesi unik yang menyimpan status antara aplikasi Anda dan klien pengguna. Anda nanti mencocokkan token sesi unik ini dengan respons autentikasi yang dikembalikan oleh layanan Google OAuth Login untuk memverifikasi bahwa pengguna yang membuat permintaan dan bukan penyerang jahat. Token ini sering disebut sebagai token pemalsuan permintaan lintas situs ( CSRF ).

Salah satu pilihan yang baik untuk token negara adalah string yang terdiri dari 30 karakter atau lebih yang dibangun menggunakan generator angka acak berkualitas tinggi. Yang lainnya adalah hash yang dihasilkan dengan menandatangani beberapa variabel status sesi Anda dengan kunci yang dirahasiakan di back-end Anda.

Kode berikut menunjukkan pembuatan token sesi yang unik.

PHP

Anda harus mengunduh pustaka klien Google API agar PHP dapat menggunakan contoh ini.

// Create a state token to prevent request forgery.
// Store it in the session for later validation.
$state = bin2hex(random_bytes(128/8));
$app['session']->set('state', $state);
// Set the client ID, token state, and application name in the HTML while
// serving it.
return $app['twig']->render('index.html', array(
    'CLIENT_ID' => CLIENT_ID,
    'STATE' => $state,
    'APPLICATION_NAME' => APPLICATION_NAME
));

Jawa

Anda harus mengunduh pustaka klien Google API untuk Java agar dapat menggunakan sampel ini.

// Create a state token to prevent request forgery.
// Store it in the session for later validation.
String state = new BigInteger(130, new SecureRandom()).toString(32);
request.session().attribute("state", state);
// Read index.html into memory, and set the client ID,
// token state, and application name in the HTML before serving it.
return new Scanner(new File("index.html"), "UTF-8")
    .useDelimiter("\\A").next()
    .replaceAll("[{]{2}\\s*CLIENT_ID\\s*[}]{2}", CLIENT_ID)
    .replaceAll("[{]{2}\\s*STATE\\s*[}]{2}", state)
    .replaceAll("[{]{2}\\s*APPLICATION_NAME\\s*[}]{2}",
    APPLICATION_NAME);

Python

Anda harus mengunduh pustaka klien Google API agar Python dapat menggunakan sampel ini.

# Create a state token to prevent request forgery.
# Store it in the session for later validation.
state = hashlib.sha256(os.urandom(1024)).hexdigest()
session['state'] = state
# Set the client ID, token state, and application name in the HTML while
# serving it.
response = make_response(
    render_template('index.html',
                    CLIENT_ID=CLIENT_ID,
                    STATE=state,
                    APPLICATION_NAME=APPLICATION_NAME))

2. Kirim permintaan autentikasi ke Google

Langkah selanjutnya adalah membentuk permintaan GET HTTPS dengan parameter URI yang sesuai. Perhatikan penggunaan HTTPS daripada HTTP di semua langkah proses ini; Koneksi HTTP ditolak. Anda harus mengambil URI dasar dari dokumen Discovery menggunakan nilai metadata authorization_endpoint . Diskusi berikut mengasumsikan URI dasar adalah https://accounts.google.com/o/oauth2/v2/auth .

Untuk permintaan dasar, tentukan parameter berikut:

  • client_id , yang Anda peroleh dari API ConsoleCredentials page.
  • response_type , yang dalam permintaan aliran kode otorisasi dasar harus berupa code . (Baca selengkapnya di response_type .)
  • scope , yang dalam permintaan dasar harus openid email . (Baca lebih lanjut di scope .)
  • redirect_uri harus menjadi titik akhir HTTP di server Anda yang akan menerima respons dari Google. Nilai harus sama persis dengan salah satu URI pengalihan resmi untuk klien OAuth 2.0, yang Anda konfigurasikan di API ConsoleCredentials page. Jika nilai ini tidak cocok dengan URI resmi, permintaan akan gagal dengan kesalahan redirect_uri_mismatch .
  • state harus menyertakan nilai token sesi unik anti-pemalsuan, serta informasi lain yang diperlukan untuk memulihkan konteks saat pengguna kembali ke aplikasi Anda, misalnya, URL awal. (Baca lebih lanjut di state .)
  • nonce adalah nilai acak yang dihasilkan oleh aplikasi Anda yang memungkinkan perlindungan pemutaran ulang saat ada.
  • login_hint dapat berupa alamat email pengguna atau sub string, yang setara dengan ID Google pengguna. Jika Anda tidak memberikan login_hint dan pengguna saat ini masuk, layar persetujuan menyertakan permintaan persetujuan untuk merilis alamat email pengguna ke aplikasi Anda. (Baca selengkapnya di login_hint .)
  • Gunakan parameter hd untuk mengoptimalkan alur OpenID Connect bagi pengguna domain G Suite tertentu. (Baca selengkapnya di hd .)

Berikut adalah contoh URI autentikasi OpenID Connect lengkap, dengan jeda baris dan spasi agar mudah dibaca:

https://accounts.google.com/o/oauth2/v2/auth?
 response_type=code&
 client_id=424911365001.apps.googleusercontent.com&
 scope=openid%20email&
 redirect_uri=https%3A//oauth2.example.com/code&
 state=security_token%3D138r5719ru3e1%26url%3Dhttps%3A%2F%2Foauth2-login-demo.example.com%2FmyHome&
 login_hint=jsmith@example.com&
 nonce=0394852-3190485-2490358&
 hd=example.com

Pengguna wajib memberikan persetujuan jika aplikasi Anda meminta informasi baru tentang mereka, atau jika aplikasi Anda meminta akses akun yang sebelumnya belum mereka setujui.

3. Konfirmasikan token status anti-pemalsuan

Respons dikirim ke redirect_uri yang Anda tentukan dalam permintaan . Semua respons dikembalikan dalam string kueri, seperti yang ditunjukkan di bawah ini:

https://oauth2.example.com/code?state=security_token%3D138r5719ru3e1%26url%3Dhttps%3A%2F%2Foa2cb.example.com%2FmyHome&code=4/P7q7W91a-oMsCeLvIaQm6bTrgtp7&scope=openid%20email%20https://www.googleapis.com/auth/userinfo.email

Di server, Anda harus mengonfirmasi bahwa state yang diterima dari Google cocok dengan token sesi yang Anda buat di Langkah 1 . Verifikasi bolak-balik ini membantu memastikan bahwa pengguna, bukan skrip berbahaya, yang membuat permintaan.

Kode berikut menunjukkan konfirmasi token sesi yang Anda buat di Langkah 1:

PHP

Anda harus mengunduh pustaka klien Google API agar PHP dapat menggunakan contoh ini.

// Ensure that there is no request forgery going on, and that the user
// sending us this connect request is the user that was supposed to.
if ($request->get('state') != ($app['session']->get('state'))) {
  return new Response('Invalid state parameter', 401);
}

Jawa

Anda harus mengunduh pustaka klien Google API untuk Java agar dapat menggunakan sampel ini.

// Ensure that there is no request forgery going on, and that the user
// sending us this connect request is the user that was supposed to.
if (!request.queryParams("state").equals(
    request.session().attribute("state"))) {
  response.status(401);
  return GSON.toJson("Invalid state parameter.");
}

Python

Anda harus mengunduh pustaka klien Google API agar Python dapat menggunakan sampel ini.

# Ensure that the request is not a forgery and that the user sending
# this connect request is the expected user.
if request.args.get('state', '') != session['state']:
  response = make_response(json.dumps('Invalid state parameter.'), 401)
  response.headers['Content-Type'] = 'application/json'
  return response

4. Tukar code untuk token akses dan token ID

Responsnya mencakup parameter code , kode otorisasi satu kali yang dapat ditukar oleh server Anda dengan token akses dan token ID. Server Anda melakukan pertukaran ini dengan mengirimkan permintaan HTTPS POST . Permintaan POST dikirim ke titik akhir token, yang harus Anda ambil dari dokumen Discovery menggunakan nilai metadata token_endpoint . Diskusi berikut mengasumsikan titik akhir adalah https://oauth2.googleapis.com/token . Permintaan harus menyertakan parameter berikut di badan POST :

bidang
code Kode otorisasi yang dikembalikan dari permintaan awal .
client_id ID klien yang Anda peroleh dari API ConsoleCredentials page, seperti yang dijelaskan dalam Mendapatkan kredensial OAuth 2.0 .
client_secret Rahasia klien yang Anda peroleh dari API ConsoleCredentials page, seperti yang dijelaskan dalam Mendapatkan kredensial OAuth 2.0 .
redirect_uri URI pengalihan resmi untuk client_id tertentu yang ditentukan dalam API ConsoleCredentials page, seperti yang dijelaskan dalam Menyetel URI pengalihan .
grant_type Bidang ini harus berisi nilai authorization_code , seperti yang didefinisikan dalam spesifikasi OAuth 2.0 .

Permintaan yang sebenarnya mungkin terlihat seperti contoh berikut:

POST /token HTTP/1.1
Host: oauth2.googleapis.com
Content-Type: application/x-www-form-urlencoded

code=4/P7q7W91a-oMsCeLvIaQm6bTrgtp7&
client_id=your-client-id&
client_secret=your-client-secret&
redirect_uri=https%3A//oauth2.example.com/code&
grant_type=authorization_code

Respons yang berhasil untuk permintaan ini berisi bidang berikut dalam larik JSON:

bidang
access_token Token yang dapat dikirim ke Google API.
expires_in Masa pakai token akses yang tersisa dalam hitungan detik.
id_token JWT yang berisi informasi identitas tentang pengguna yang ditandatangani secara digital oleh Google.
scope Cakupan akses yang diberikan oleh access_token dinyatakan sebagai daftar string peka huruf besar/kecil yang dibatasi spasi.
token_type Mengidentifikasi jenis token yang dikembalikan. Saat ini, bidang ini selalu memiliki nilai Bearer .
refresh_token (pilihan)

Bidang ini hanya ada jika parameter access_type disetel ke offline dalam permintaan autentikasi . Untuk detailnya, lihat Segarkan token .

5. Dapatkan informasi pengguna dari token ID

Token ID adalah JWT (JSON Web Token), yaitu, objek JSON berkode Base64 yang ditandatangani secara kriptografis. Biasanya, Anda harus memvalidasi token ID sebelum menggunakannya, tetapi karena Anda berkomunikasi langsung dengan Google melalui saluran HTTPS bebas perantara dan menggunakan rahasia klien Anda untuk mengautentikasi diri Anda ke Google, Anda dapat yakin bahwa token yang Anda terima benar-benar berasal dari Google dan valid. Jika server Anda meneruskan token ID ke komponen lain dari aplikasi Anda, sangat penting bagi komponen lain untuk memvalidasi token sebelum menggunakannya.

Karena sebagian besar pustaka API menggabungkan validasi dengan pekerjaan mendekode nilai yang disandikan base64url dan menguraikan JSON di dalamnya, Anda mungkin akan tetap memvalidasi token saat Anda mengakses klaim dalam token ID.

Muatan token ID

Token ID adalah objek JSON yang berisi sekumpulan pasangan nama/nilai. Berikut ini contoh, diformat agar mudah dibaca:

{
  "iss": "https://accounts.google.com",
  "azp": "1234987819200.apps.googleusercontent.com",
  "aud": "1234987819200.apps.googleusercontent.com",
  "sub": "10769150350006150715113082367",
  "at_hash": "HK6E_P6Dh8Y93mRNtsDB1Q",
  "hd": "example.com",
  "email": "jsmith@example.com",
  "email_verified": "true",
  "iat": 1353601026,
  "exp": 1353604926,
  "nonce": "0394852-3190485-2490358"
}

Token ID Google dapat berisi bidang berikut (dikenal sebagai klaim ):

Mengeklaim Asalkan Keterangan
aud selalu Audiens yang menjadi tujuan token ID ini. Itu harus salah satu dari ID klien OAuth 2.0 aplikasi Anda.
exp selalu Waktu kedaluwarsa pada atau setelah token ID tidak boleh diterima. Diwakili dalam waktu Unix (detik bilangan bulat).
iat selalu Waktu token ID dikeluarkan. Diwakili dalam waktu Unix (detik bilangan bulat).
iss selalu Pengenal Penerbit untuk Penerbit tanggapan. Selalu https://accounts.google.com atau accounts.google.com untuk token ID Google.
sub selalu Pengidentifikasi untuk pengguna, unik di antara semua akun Google dan tidak pernah digunakan kembali. Akun Google dapat memiliki beberapa alamat email pada titik waktu yang berbeda, tetapi nilai sub tidak pernah berubah. Gunakan sub dalam aplikasi Anda sebagai kunci pengenal unik untuk pengguna. Panjang maksimum 255 karakter ASCII peka huruf besar/kecil.
at_hash Akses token hash. Memberikan validasi bahwa token akses terkait dengan token identitas. Jika token ID dikeluarkan dengan nilai access_token di aliran server, klaim ini selalu disertakan. Klaim ini dapat digunakan sebagai mekanisme alternatif untuk melindungi dari serangan pemalsuan permintaan lintas situs, tetapi jika Anda mengikuti Langkah 1 dan Langkah 3 , tidak perlu memverifikasi token akses.
azp client_id dari penyaji resmi. Klaim ini hanya diperlukan ketika pihak yang meminta token ID tidak sama dengan audiens token ID. Ini mungkin terjadi di Google untuk aplikasi hybrid di mana aplikasi web dan aplikasi Android memiliki client_id OAuth 2.0 yang berbeda tetapi berbagi proyek Google API yang sama.
email Alamat email pengguna. Nilai ini mungkin tidak unik untuk pengguna ini dan tidak cocok untuk digunakan sebagai kunci utama. Disediakan hanya jika cakupan Anda menyertakan nilai cakupan email .
email_verified Benar jika alamat email pengguna telah diverifikasi; sebaliknya palsu.
family_name Nama belakang atau nama belakang pengguna. Mungkin diberikan saat ada klaim name .
given_name Nama yang diberikan pengguna atau nama depan. Mungkin diberikan saat ada klaim name .
hd Domain pengguna G Suite yang dihosting. Disediakan hanya jika pengguna termasuk dalam domain yang dihosting.
locale Lokal pengguna, diwakili oleh tag bahasa BCP 47 . Mungkin diberikan saat ada klaim name .
name Nama lengkap pengguna, dalam bentuk yang dapat ditampilkan. Mungkin diberikan ketika:
  • Cakupan permintaan menyertakan string "profil"
  • Token ID dikembalikan dari penyegaran token

Saat ada klaim name , Anda dapat menggunakannya untuk memperbarui catatan pengguna aplikasi Anda. Perhatikan bahwa klaim ini tidak pernah dijamin untuk hadir.

nonce Nilai nonce yang disediakan oleh aplikasi Anda dalam permintaan autentikasi. Anda harus menegakkan perlindungan terhadap serangan replay dengan memastikan itu disajikan hanya sekali.
picture URL gambar profil pengguna. Mungkin diberikan ketika:
  • Cakupan permintaan menyertakan string "profil"
  • Token ID dikembalikan dari penyegaran token

Saat ada klaim picture , Anda dapat menggunakannya untuk memperbarui catatan pengguna aplikasi Anda. Perhatikan bahwa klaim ini tidak pernah dijamin untuk hadir.

profile URL halaman profil pengguna. Mungkin diberikan ketika:
  • Cakupan permintaan menyertakan string "profil"
  • Token ID dikembalikan dari penyegaran token

Saat ada klaim profile , Anda dapat menggunakannya untuk memperbarui catatan pengguna aplikasi Anda. Perhatikan bahwa klaim ini tidak pernah dijamin untuk hadir.

6. Otentikasi pengguna

Setelah mendapatkan informasi pengguna dari token ID, Anda harus mengkueri database pengguna aplikasi Anda. Jika pengguna sudah ada di database Anda, Anda harus memulai sesi aplikasi untuk pengguna tersebut jika semua persyaratan login dipenuhi oleh respons Google API.

Jika pengguna tidak ada di database pengguna Anda, Anda harus mengarahkan pengguna ke alur pendaftaran pengguna baru Anda. Anda mungkin dapat mendaftarkan pengguna secara otomatis berdasarkan informasi yang Anda terima dari Google, atau paling tidak Anda dapat mengisi terlebih dahulu banyak bidang yang Anda perlukan pada formulir pendaftaran Anda. Selain informasi di token ID, Anda bisa mendapatkan informasi profil pengguna tambahan di titik akhir profil pengguna kami.

Topik lanjutan

Bagian berikut menjelaskan Google OAuth 2.0 API secara lebih mendetail. Informasi ini ditujukan untuk pengembang dengan persyaratan lanjutan seputar otentikasi dan otorisasi.

Akses ke Google API lainnya

Salah satu keuntungan menggunakan OAuth 2.0 untuk autentikasi adalah aplikasi Anda bisa mendapatkan izin untuk menggunakan Google API lain atas nama pengguna (seperti YouTube, Google Drive, Kalender, atau Kontak) pada saat yang sama saat Anda mengautentikasi pengguna. Untuk melakukannya, sertakan cakupan lain yang Anda perlukan dalam permintaan autentikasi yang Anda kirim ke Google. Misalnya, untuk menambahkan kelompok usia pengguna ke permintaan autentikasi Anda, berikan parameter cakupan openid email https://www.googleapis.com/auth/profile.agerange.read . Pengguna diminta dengan tepat pada layar persetujuan . Token akses yang Anda terima kembali dari Google memungkinkan Anda mengakses semua API yang terkait dengan cakupan akses yang Anda minta dan diberikan.

Segarkan token

Dalam permintaan Anda untuk akses API, Anda dapat meminta token penyegaran untuk dikembalikan selama pertukaran code . Token penyegaran memberi aplikasi Anda akses berkelanjutan ke Google API saat pengguna tidak ada di aplikasi Anda. Untuk meminta token penyegaran, tambahkan setel parameter access_type ke offline dalam permintaan autentikasi Anda .

Pertimbangan:

  • Pastikan untuk menyimpan token penyegaran dengan aman dan permanen, karena Anda hanya dapat memperoleh token penyegaran saat pertama kali melakukan alur pertukaran kode.
  • Ada batasan jumlah token penyegaran yang dikeluarkan: satu batas per kombinasi klien/pengguna, dan satu lagi per pengguna di semua klien. Jika aplikasi Anda meminta terlalu banyak token penyegaran, itu mungkin mengalami batas ini, dalam hal ini token penyegaran lama berhenti bekerja.

Untuk informasi selengkapnya, lihat Menyegarkan token akses (akses offline) .

Anda dapat meminta pengguna untuk mengotorisasi ulang aplikasi Anda dengan menyetel parameter prompt untuk consent dalam permintaan autentikasi Anda . Saat prompt=consent disertakan, layar persetujuan ditampilkan setiap kali aplikasi Anda meminta otorisasi cakupan akses, meskipun semua cakupan sebelumnya diberikan ke proyek Google API Anda. Untuk alasan ini, sertakan prompt=consent hanya jika diperlukan.

Untuk informasi selengkapnya tentang parameter prompt , lihat prompt di tabel parameter URI Otentikasi .

Parameter URI otentikasi

Tabel berikut memberikan deskripsi yang lebih lengkap tentang parameter yang diterima oleh API autentikasi OAuth 2.0 Google.

Parameter Diperlukan Keterangan
client_id (Diperlukan) String ID klien yang Anda peroleh dari API ConsoleCredentials page, seperti yang dijelaskan dalam Mendapatkan kredensial OAuth 2.0 .
nonce (Diperlukan) Nilai acak yang dihasilkan oleh aplikasi Anda yang memungkinkan perlindungan pemutaran ulang.
response_type (Diperlukan) Jika nilainya adalah code , meluncurkan aliran kode otorisasi Dasar , yang memerlukan POST ke titik akhir token untuk mendapatkan token. Jika nilainya adalah token id_token atau id_token token , meluncurkan aliran Implisit , yang memerlukan penggunaan JavaScript di URI pengalihan untuk mengambil token dari #fragment URI .
redirect_uri (Diperlukan) Menentukan kemana respon dikirim. Nilai parameter ini harus sama persis dengan salah satu nilai pengalihan resmi yang Anda tetapkan di API ConsoleCredentials page (termasuk skema HTTP atau HTTPS, huruf besar/kecil, dan tanda '/', jika ada).
scope (Diperlukan)

Parameter cakupan harus dimulai dengan nilai openid dan kemudian menyertakan nilai profile , nilai email , atau keduanya.

Jika nilai cakupan profile ada, token ID mungkin (tetapi tidak dijamin) menyertakan klaim profile default pengguna.

Jika nilai cakupan email ada, token ID menyertakan email dan klaim email_verified .

Selain cakupan khusus OpenID ini, argumen cakupan Anda juga dapat menyertakan nilai cakupan lainnya. Semua nilai cakupan harus dipisahkan oleh spasi. Misalnya, jika Anda menginginkan akses per file ke Google Drive pengguna, parameter cakupan Anda mungkin berupa openid profile email https://www.googleapis.com/auth/drive.file .

Untuk informasi tentang cakupan yang tersedia, lihat Cakupan OAuth 2.0 untuk Google API atau dokumentasi untuk Google API yang ingin Anda gunakan.

state (Opsional, tetapi sangat disarankan)

String buram yang bolak-balik dalam protokol; artinya, ini dikembalikan sebagai parameter URI dalam aliran Dasar, dan dalam pengidentifikasi #fragment URI dalam aliran Implisit.

state dapat berguna untuk menghubungkan permintaan dan tanggapan. Karena redirect_uri Anda dapat ditebak, menggunakan nilai state dapat meningkatkan jaminan bahwa koneksi masuk adalah hasil dari permintaan autentikasi yang dimulai oleh aplikasi Anda. Jika Anda membuat string acak atau menyandikan hash dari beberapa status klien (misalnya, cookie) dalam variabel state ini, Anda dapat memvalidasi respons untuk memastikan bahwa permintaan dan respons berasal dari browser yang sama. Ini memberikan perlindungan terhadap serangan seperti pemalsuan permintaan lintas situs.

access_type (Pilihan) Nilai yang diizinkan adalah offline dan online . Efeknya didokumentasikan dalam Akses Offline ; jika token akses diminta, klien tidak menerima token penyegaran kecuali jika nilai offline ditentukan.
display (Pilihan) Nilai string ASCII untuk menentukan bagaimana server otorisasi menampilkan halaman antarmuka pengguna otentikasi dan persetujuan. Nilai berikut ditentukan, dan diterima oleh server Google, tetapi tidak memiliki pengaruh apa pun pada perilakunya: page , popup , touch , dan wap .
hd (Pilihan)

Parameter hd (domain yang dihosting) menyederhanakan proses login untuk akun yang dihosting G Suite. Dengan menyertakan domain pengguna G Suite (misalnya, mycollege.edu ), Anda dapat menunjukkan bahwa UI pemilihan akun harus dioptimalkan untuk akun di domain tersebut. Untuk mengoptimalkan akun G Suite secara umum, bukan hanya satu domain, tetapkan nilai tanda bintang ( * ): hd=* .

Jangan mengandalkan pengoptimalan UI ini untuk mengontrol siapa yang dapat mengakses aplikasi Anda, karena permintaan sisi klien dapat dimodifikasi. Pastikan untuk memvalidasi bahwa token ID yang dikembalikan memiliki nilai klaim hd yang sesuai dengan yang Anda harapkan (mis. mycolledge.edu ). Berbeda dengan parameter permintaan, klaim hd token ID terkandung dalam token keamanan dari Google, sehingga nilainya dapat dipercaya.

include_granted_scopes (Pilihan) Jika parameter ini diberikan dengan nilai true , dan permintaan otorisasi diberikan, otorisasi akan menyertakan otorisasi sebelumnya yang diberikan kepada kombinasi pengguna/aplikasi ini untuk cakupan lain; lihat Otorisasi tambahan .

Perhatikan bahwa Anda tidak dapat melakukan otorisasi tambahan dengan alur Aplikasi Terinstal.

login_hint (Pilihan) Saat aplikasi Anda mengetahui pengguna mana yang coba diautentikasi, aplikasi dapat memberikan parameter ini sebagai petunjuk ke server autentikasi. Meneruskan petunjuk ini akan menekan pemilih akun dan mengisi kotak email sebelumnya pada formulir masuk, atau memilih sesi yang tepat (jika pengguna menggunakan banyak info masuk ), yang dapat membantu Anda menghindari masalah yang terjadi jika aplikasi Anda masuk ke akun pengguna yang salah. Nilainya bisa berupa alamat email atau sub string, yang setara dengan ID Google pengguna.
prompt (Pilihan) Daftar nilai string yang dipisahkan spasi yang menentukan apakah server otorisasi meminta pengguna untuk autentikasi ulang dan persetujuan. Nilai yang mungkin adalah:
  • none

    Server otorisasi tidak menampilkan layar otentikasi atau persetujuan pengguna apa pun; itu akan mengembalikan kesalahan jika pengguna belum diautentikasi dan tidak memiliki izin pra-konfigurasi untuk cakupan yang diminta. Anda tidak dapat menggunakan none untuk memeriksa autentikasi dan/atau persetujuan yang ada.

  • consent

    Server otorisasi meminta persetujuan pengguna sebelum mengembalikan informasi ke klien.

  • select_account

    Server otorisasi meminta pengguna untuk memilih akun pengguna. Hal ini memungkinkan pengguna yang memiliki beberapa akun di server otorisasi untuk memilih di antara beberapa akun yang mungkin mereka miliki sesi saat ini.

Jika tidak ada nilai yang ditentukan dan pengguna sebelumnya tidak memiliki akses yang diizinkan, maka layar persetujuan akan ditampilkan kepada pengguna.

Memvalidasi token ID

Anda perlu memvalidasi semua token ID di server Anda kecuali Anda tahu bahwa token tersebut berasal langsung dari Google. Misalnya, server Anda harus memverifikasi keaslian token ID apa pun yang diterimanya dari aplikasi klien Anda.

Berikut ini adalah situasi umum di mana Anda mungkin mengirim token ID ke server Anda:

  • Mengirim token ID dengan permintaan yang perlu diautentikasi. Token ID memberi tahu Anda pengguna tertentu yang membuat permintaan dan untuk klien mana token ID itu diberikan.

Token ID bersifat sensitif dan dapat disalahgunakan jika disadap. Anda harus memastikan bahwa token ini ditangani dengan aman dengan mengirimkannya hanya melalui HTTPS dan hanya melalui data POST atau dalam header permintaan. Jika Anda menyimpan token ID di server Anda, Anda juga harus menyimpannya dengan aman.

Satu hal yang membuat token ID berguna adalah fakta bahwa Anda dapat menyebarkannya ke berbagai komponen aplikasi Anda. Komponen ini dapat menggunakan token ID sebagai mekanisme autentikasi ringan yang mengautentikasi aplikasi dan pengguna. Namun sebelum Anda dapat menggunakan informasi dalam token ID atau mengandalkannya sebagai pernyataan bahwa pengguna telah mengautentikasi, Anda harus memvalidasinya.

Validasi token ID memerlukan beberapa langkah:

  1. Verifikasi bahwa token ID ditandatangani dengan benar oleh penerbit. Token yang diterbitkan Google ditandatangani menggunakan salah satu sertifikat yang ditemukan di URI yang ditentukan dalam nilai metadata jwks_uri dokumen Discovery .
  2. Pastikan nilai klaim iss di token ID sama dengan https://accounts.google.com atau accounts.google.com .
  3. Verifikasi bahwa nilai klaim aud dalam token ID sama dengan ID klien aplikasi Anda.
  4. Verifikasi bahwa waktu kedaluwarsa ( exp claim) token ID belum berlalu.
  5. Jika Anda menentukan nilai parameter hd dalam permintaan, verifikasi bahwa token ID memiliki klaim hd yang cocok dengan domain yang dihosting G Suite yang diterima.

Langkah 2 hingga 5 hanya melibatkan perbandingan string dan tanggal yang cukup mudah, jadi kami tidak akan merincinya di sini.

Langkah pertama lebih kompleks, dan melibatkan pemeriksaan tanda tangan kriptografi. Untuk tujuan debugging , Anda dapat menggunakan titik akhir tokeninfo Google untuk membandingkan dengan pemrosesan lokal yang diterapkan di server atau perangkat Anda. Misalkan nilai token ID Anda adalah XYZ123 . Kemudian Anda akan mereferensikan URI https://oauth2.googleapis.com/tokeninfo?id_token= XYZ123 . Jika tanda tangan token valid, responsnya adalah muatan JWT dalam bentuk objek JSON yang didekodekan.

Titik akhir tokeninfo berguna untuk debugging tetapi untuk tujuan produksi, ambil kunci publik Google dari titik akhir kunci dan lakukan validasi secara lokal. Anda harus mengambil URI kunci dari dokumen Discovery menggunakan nilai metadata jwks_uri . Permintaan ke titik akhir debug mungkin terhambat atau dapat menyebabkan kesalahan intermiten.

Karena Google jarang mengubah kunci publiknya, Anda dapat menyimpannya dalam cache menggunakan arahan cache dari respons HTTP dan, dalam sebagian besar kasus, melakukan validasi lokal jauh lebih efisien daripada menggunakan titik akhir tokeninfo . Validasi ini memerlukan pengambilan dan penguraian sertifikat, dan membuat panggilan kriptografi yang sesuai untuk memeriksa tanda tangan. Untungnya, ada perpustakaan yang di-debug dengan baik yang tersedia dalam berbagai bahasa untuk mencapai hal ini (lihat jwt.io ).

Mendapatkan informasi profil pengguna

Untuk mendapatkan informasi profil tambahan tentang pengguna, Anda dapat menggunakan token akses (yang diterima aplikasi Anda selama alur autentikasi ) dan standar OpenID Connect :

  1. Agar sesuai dengan OpenID, Anda harus menyertakan nilai cakupan openid profile dalam permintaan autentikasi Anda.

    Jika Anda ingin alamat email pengguna disertakan, Anda dapat menentukan nilai cakupan email tambahan . Untuk menentukan profile dan email , Anda dapat menyertakan parameter berikut dalam URI permintaan autentikasi:

    scope=openid%20profile%20email
  2. Tambahkan token akses Anda ke header otorisasi dan buat permintaan HTTPS GET ke endpoint userinfo, yang harus Anda ambil dari dokumen Discovery menggunakan nilai metadata userinfo_endpoint . Respons info pengguna mencakup informasi tentang pengguna, seperti yang dijelaskan dalam OpenID Connect Standard Claims dan nilai metadata yang claims_supported -klaim dari dokumen Discovery. Pengguna atau organisasi mereka dapat memilih untuk menyediakan atau menahan bidang tertentu, jadi Anda mungkin tidak mendapatkan informasi untuk setiap bidang untuk cakupan akses resmi Anda.

Dokumen Penemuan

Protokol OpenID Connect memerlukan penggunaan beberapa titik akhir untuk mengautentikasi pengguna, dan untuk meminta sumber daya termasuk token, informasi pengguna, dan kunci publik.

Untuk menyederhanakan implementasi dan meningkatkan fleksibilitas, OpenID Connect memungkinkan penggunaan "dokumen Discovery", dokumen JSON yang ditemukan di lokasi terkenal yang berisi pasangan nilai kunci yang memberikan detail tentang konfigurasi penyedia OpenID Connect, termasuk URI otorisasi , token, pencabutan, info pengguna, dan titik akhir kunci publik. Dokumen Discovery untuk layanan OpenID Connect Google dapat diambil dari:

https://accounts.google.com/.well-known/openid-configuration

Untuk menggunakan layanan OpenID Connect Google, Anda harus membuat hard-code URI dokumen Discovery ( https://accounts.google.com/.well-known/openid-configuration ) ke dalam aplikasi Anda. Aplikasi Anda mengambil dokumen, menerapkan aturan caching dalam respons, lalu mengambil URI titik akhir darinya sesuai kebutuhan. Misalnya, untuk mengautentikasi pengguna, kode Anda akan mengambil nilai metadata authorization_endpoint ( https://accounts.google.com/o/oauth2/v2/auth pada contoh di bawah) sebagai URI dasar untuk permintaan autentikasi yang dikirim ke Google.

Berikut adalah contoh dokumen semacam itu; nama bidang adalah yang ditentukan dalam OpenID Connect Discovery 1.0 (lihat dokumen itu untuk artinya). Nilainya murni ilustratif dan mungkin berubah, meskipun nilai tersebut disalin dari versi terbaru dari dokumen Google Discovery yang sebenarnya:

{
  "issuer": "https://accounts.google.com",
  "authorization_endpoint": "https://accounts.google.com/o/oauth2/v2/auth",
  "device_authorization_endpoint": "https://oauth2.googleapis.com/device/code",
  "token_endpoint": "https://oauth2.googleapis.com/token",
  "userinfo_endpoint": "https://openidconnect.googleapis.com/v1/userinfo",
  "revocation_endpoint": "https://oauth2.googleapis.com/revoke",
  "jwks_uri": "https://www.googleapis.com/oauth2/v3/certs",
  "response_types_supported": [
    "code",
    "token",
    "id_token",
    "code token",
    "code id_token",
    "token id_token",
    "code token id_token",
    "none"
  ],
  "subject_types_supported": [
    "public"
  ],
  "id_token_signing_alg_values_supported": [
    "RS256"
  ],
  "scopes_supported": [
    "openid",
    "email",
    "profile"
  ],
  "token_endpoint_auth_methods_supported": [
    "client_secret_post",
    "client_secret_basic"
  ],
  "claims_supported": [
    "aud",
    "email",
    "email_verified",
    "exp",
    "family_name",
    "given_name",
    "iat",
    "iss",
    "locale",
    "name",
    "picture",
    "sub"
  ],
  "code_challenge_methods_supported": [
    "plain",
    "S256"
  ]
}

Anda mungkin dapat menghindari HTTP bolak-balik dengan menyimpan nilai dari dokumen Discovery dalam cache. Header caching HTTP standar digunakan dan harus dihormati.

Pustaka klien

Pustaka klien berikut membuat penerapan OAuth 2.0 menjadi lebih sederhana dengan mengintegrasikannya dengan kerangka kerja populer:

Kepatuhan OpenID Connect

Sistem autentikasi OAuth 2.0 Google mendukung fitur yang diperlukan dari spesifikasi OpenID Connect Core . Setiap klien yang dirancang untuk bekerja dengan OpenID Connect harus beroperasi dengan layanan ini (dengan pengecualian Objek Permintaan OpenID ).