Аутентифицироваться на внутреннем сервере

Если вы используете Google Sign-In с приложением или сайтом, который обменивается данными с внутренним сервером, вам может потребоваться идентифицировать текущего пользователя, выполнившего вход на сервере. Чтобы сделать это безопасно, после того, как пользователь успешно войдет в систему, отправьте токен идентификатора пользователя на ваш сервер с помощью HTTPS. Затем на сервере проверьте целостность токена ID и используйте информацию о пользователе, содержащуюся в токене, для установления сеанса или создания новой учетной записи.

Отправьте идентификатор на свой сервер

После того, как пользователь успешно войдет в систему, получите токен идентификатора пользователя:

function onSignIn(googleUser) {
  var id_token = googleUser.getAuthResponse().id_token;
  ...
}

Затем отправьте токен идентификатора на свой сервер с помощью запроса HTTPS POST:

var xhr = new XMLHttpRequest();
xhr.open('POST', 'https://yourbackend.example.com/tokensignin');
xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
xhr.onload = function() {
  console.log('Signed in as: ' + xhr.responseText);
};
xhr.send('idtoken=' + id_token);

Проверьте целостность идентификатора токена

После получения токена идентификатора с помощью HTTPS POST необходимо проверить целостность токена. Чтобы убедиться, что токен действителен, убедитесь, что выполняются следующие критерии:

  • Идентификационный токен правильно подписан Google. Используйте открытые ключи Google (доступны в формате JWK или PEM ) для проверки подписи токена. Эти ключи регулярно меняются; изучите заголовок Cache-Control в ответе, чтобы определить, когда вам следует получить их снова.
  • Значение aud в токене идентификатора равно одному из идентификаторов клиента вашего приложения. Эта проверка необходима для предотвращения использования идентификационных токенов, выданных вредоносному приложению, для доступа к данным об одном и том же пользователе на внутреннем сервере вашего приложения.
  • Значение iss в токене идентификатора равно accounts.google.com или https://accounts.google.com .
  • Время истечения ( exp ) идентификационные маркера не передается.
  • Если вы хотите ограничить доступ только для членов вашего домена G Suite, убедитесь, что для идентификатора токена есть утверждение hd , соответствующее вашему доменному имени G Suite.

Вместо того, чтобы писать собственный код для выполнения этих шагов проверки, мы настоятельно рекомендуем использовать клиентскую библиотеку Google API для вашей платформы или универсальную библиотеку JWT. Для разработки и отладки вы можете вызвать нашу tokeninfo точку проверки tokeninfo .

Использование клиентской библиотеки Google API

Использование одной из клиентских библиотек Google API (например, Java , Node.js , PHP , Python ) является рекомендуемым способом проверки токенов Google ID в производственной среде.

Ява

Чтобы проверить токен идентификатора в Java, используйте объект GoogleIdTokenVerifier . Например:

import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;

...

GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
    // Specify the CLIENT_ID of the app that accesses the backend:
    .setAudience(Collections.singletonList(CLIENT_ID))
    // Or, if multiple clients access the backend:
    //.setAudience(Arrays.asList(CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3))
    .build();

// (Receive idTokenString by HTTPS POST)

GoogleIdToken idToken = verifier.verify(idTokenString);
if (idToken != null) {
  Payload payload = idToken.getPayload();

  // Print user identifier
  String userId = payload.getSubject();
  System.out.println("User ID: " + userId);

  // Get profile information from payload
  String email = payload.getEmail();
  boolean emailVerified = Boolean.valueOf(payload.getEmailVerified());
  String name = (String) payload.get("name");
  String pictureUrl = (String) payload.get("picture");
  String locale = (String) payload.get("locale");
  String familyName = (String) payload.get("family_name");
  String givenName = (String) payload.get("given_name");

  // Use or store profile information
  // ...

} else {
  System.out.println("Invalid ID token.");
}

Метод GoogleIdTokenVerifier.verify() проверяет подпись JWT, утверждение aud утверждение iss и утверждение exp .

Если вы хотите ограничить доступ только для членов вашего домена G Suite, также проверьте заявку hd , проверив имя домена, возвращаемое методом Payload.getHostedDomain() .

Node.js

Чтобы проверить токен идентификатора в Node.js, используйте библиотеку Google Auth для Node.js. Установите библиотеку:

npm install google-auth-library --save
Затем вызовите verifyIdToken() . Например:

const {OAuth2Client} = require('google-auth-library');
const client = new OAuth2Client(CLIENT_ID);
async function verify() {
  const ticket = await client.verifyIdToken({
      idToken: token,
      audience: CLIENT_ID,  // Specify the CLIENT_ID of the app that accesses the backend
      // Or, if multiple clients access the backend:
      //[CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]
  });
  const payload = ticket.getPayload();
  const userid = payload['sub'];
  // If request specified a G Suite domain:
  // const domain = payload['hd'];
}
verify().catch(console.error);

Функция verifyIdToken проверяет подпись JWT, утверждение aud утверждение exp и утверждение iss .

Если вы хотите ограничить доступ только для членов вашего домена G Suite, также убедитесь, что заявка hd соответствует вашему доменному имени G Suite.

PHP

Чтобы проверить токен идентификатора в PHP, используйте клиентскую библиотеку Google API для PHP . Установите библиотеку (например, с помощью Composer):

composer require google/apiclient
Затем вызовите verifyIdToken() . Например:

require_once 'vendor/autoload.php';

// Get $id_token via HTTPS POST.

$client = new Google_Client(['client_id' => $CLIENT_ID]);  // Specify the CLIENT_ID of the app that accesses the backend
$payload = $client->verifyIdToken($id_token);
if ($payload) {
  $userid = $payload['sub'];
  // If request specified a G Suite domain:
  //$domain = $payload['hd'];
} else {
  // Invalid ID token
}

Функция verifyIdToken проверяет подпись JWT, утверждение aud утверждение exp и утверждение iss .

Если вы хотите ограничить доступ только для членов вашего домена G Suite, также убедитесь, что заявка hd соответствует вашему доменному имени G Suite.

Python

Чтобы проверить токен идентификатора в Python, используйте функцию verify_oauth2_token . Например:

from google.oauth2 import id_token
from google.auth.transport import requests

# (Receive token by HTTPS POST)
# ...

try:
    # Specify the CLIENT_ID of the app that accesses the backend:
    idinfo = id_token.verify_oauth2_token(token, requests.Request(), CLIENT_ID)

    # Or, if multiple clients access the backend server:
    # idinfo = id_token.verify_oauth2_token(token, requests.Request())
    # if idinfo['aud'] not in [CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]:
    #     raise ValueError('Could not verify audience.')

    # If auth request is from a G Suite domain:
    # if idinfo['hd'] != GSUITE_DOMAIN_NAME:
    #     raise ValueError('Wrong hosted domain.')

    # ID token is valid. Get the user's Google Account ID from the decoded token.
    userid = idinfo['sub']
except ValueError:
    # Invalid token
    pass

Функция verify_oauth2_token проверяет подпись JWT, утверждение aud и утверждение exp . Вы также должны проверить утверждение hd (если применимо), verify_oauth2_token объект, который возвращает verify_oauth2_token . Если к внутреннему серверу обращаются несколько клиентов, также вручную проверьте утверждение aud .

Вызов конечной точки tokeninfo

Простой способ проверить подпись токена идентификатора для отладки - использовать tokeninfo точку tokeninfo . Вызов этой конечной точки включает дополнительный сетевой запрос, который выполняет большую часть проверки за вас, пока вы тестируете правильную проверку и извлечение полезной нагрузки в своем собственном коде. Он не подходит для использования в производственном коде, поскольку запросы могут регулироваться или иным образом вызывать периодические ошибки.

Чтобы проверить токен идентификатора с помощью tokeninfo точки tokeninfo , сделайте HTTPS-запрос POST или GET конечной точке и передайте свой идентификатор в параметре id_token . Например, чтобы проверить токен «XYZ123», выполните следующий запрос GET:

https://oauth2.googleapis.com/tokeninfo?id_token=XYZ123

Если токен правильно подписан и утверждения iss и exp имеют ожидаемые значения, вы получите ответ HTTP 200, в котором тело содержит утверждения токена идентификатора в формате JSON. Вот пример ответа:

{
 // These six fields are included in all Google ID Tokens.
 "iss": "https://accounts.google.com",
 "sub": "110169484474386276334",
 "azp": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
 "aud": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com",
 "iat": "1433978353",
 "exp": "1433981953",

 // These seven fields are only included when the user has granted the "profile" and
 // "email" OAuth scopes to the application.
 "email": "testuser@gmail.com",
 "email_verified": "true",
 "name" : "Test User",
 "picture": "https://lh4.googleusercontent.com/-kYgzyAWpZzJ/ABCDEFGHI/AAAJKLMNOP/tIXL9Ir44LE/s99-c/photo.jpg",
 "given_name": "Test",
 "family_name": "User",
 "locale": "en"
}

Если вы являетесь клиентом G Suite, вас также может заинтересовать утверждение hd , в котором указан размещенный домен пользователя. Это можно использовать для ограничения доступа к ресурсу только членам определенных доменов. Отсутствие этого утверждения указывает на то, что пользователь не принадлежит к домену, размещенному в G Suite.

Создать учетную запись или сеанс

После того, как вы проверили токен, проверьте, есть ли пользователь уже в вашей пользовательской базе данных. Если да, установите для пользователя сеанс с аутентификацией. Если пользователя еще нет в вашей базе данных пользователей, создайте новую запись пользователя на основе информации в полезных данных токена идентификатора и установите сеанс для пользователя. Вы можете запросить у пользователя любую дополнительную информацию профиля, которая вам потребуется, когда вы обнаружите вновь созданного пользователя в своем приложении.

Защита учетных записей ваших пользователей с помощью перекрестной защиты учетных записей

Если вы полагаетесь на Google для входа пользователя в систему, вы автоматически получаете выгоду от всех функций безопасности и инфраструктуры, созданных Google для защиты данных пользователя. Однако в том маловероятном случае, если учетная запись пользователя Google будет взломана или произойдет какое-либо другое серьезное событие безопасности, ваше приложение также может быть уязвимо для атаки. Чтобы лучше защитить свои учетные записи от любых серьезных событий безопасности, используйте защиту перекрестных учетных записей для получения предупреждений безопасности от Google. Когда вы получаете эти события, вы получаете представление о важных изменениях в безопасности учетной записи Google пользователя, а затем можете предпринять действия в своей службе для защиты своих учетных записей.