Accedi con Google per le app lato server

Per utilizzare i servizi Google per conto di un utente offline, devi utilizzare un flusso lato server ibrido in cui l'utente autorizza la tua app sul lato client utilizzando il client API JavaScript e invii uno speciale codice di autorizzazione una tantum al server. Il server scambia questo codice monouso per acquisire i propri token di accesso e aggiornamento da Google, in modo che il server sia in grado di effettuare le proprie chiamate API, operazione che può essere eseguita quando l'utente è offline. Questo flusso di codice una tantum offre vantaggi in termini di sicurezza sia rispetto al flusso lato server puro sia rispetto all'invio dei token di accesso al server.

Di seguito è illustrato il flusso di accesso per ottenere un token di accesso per l'applicazione lato server.

Dall'applicazione, l'utente fa clic sul pulsante di accesso nell'app client. In questo modo viene inviata una richiesta di autorizzazione ai server di autorizzazione di Google (1).

Se l'utente non ha ancora autorizzato questa app, la richiesta attiva la finestra di dialogo OAuth 2.0, che viene visualizzata per l'utente (2), in cui viene chiesto di concedere all'applicazione le autorizzazioni elencate in base ai tuoi ambiti. In questo caso, il client restituisce i valori access_token, id_token e a un codice monouso (3).

Dopodiché puoi inviare al server il codice monouso dal pulsante di accesso (4). Quando il server dispone del codice, il server può scambiarlo con un access_token (5, 6) che può essere archiviato localmente sul lato server. Il server può quindi effettuare chiamate API di Google indipendentemente dal client.

Un passaggio finale facoltativo prevede l'invio di un messaggio dal server al client, per verificare che l'utente abbia eseguito l'accesso (7).

I codici monouso presentano diversi vantaggi per la sicurezza. Con i codici, Google fornisce i token direttamente al tuo server senza intermediari. Sebbene sconsigliamo di divulgare i codici, sono molto difficili da utilizzare senza il client secret. Mantieni il tuo client secret

Implementazione del flusso monouso

Il pulsante Accedi con Google fornisce sia un token di accesso sia un codice di autorizzazione. Si tratta di un codice monouso che il tuo server può scambiare con i server di Google per un token di accesso.

Il seguente codice di esempio mostra come eseguire il flusso del codice una tantum.

L'autenticazione di Accedi con Google con un flusso di codice monouso richiede di:

Passaggio 1: crea un ID client e un client secret

Per creare un ID client e un client secret, crea un progetto della console API di Google, configura un ID client OAuth e registra le tue origini JavaScript:

1. Vai alla console dell'API di Google.

2. Dal menu a discesa dei progetti, seleziona un progetto esistente o creane uno nuovo selezionando Crea un nuovo progetto.

3. Nella barra laterale in "API e servizi", seleziona Credenziali, quindi fai clic su Configura schermata per il consenso.

   Scegli un indirizzo email, specifica un nome di prodotto e premi Salva.

4. Nella scheda Credenziali, seleziona l'elenco a discesa Crea credenziali e scegli ID client OAuth.

5. In Tipo di applicazione, seleziona Applicazione web.

   Registra le origini da cui la tua app può accedere alle API di Google come indicato di seguito. Un'origine è una combinazione univoca di protocollo, nome host e porta.

   1. Nel campo Origini JavaScript autorizzate, inserisci l'origine della tua app. Puoi inserire più origini per consentire l'esecuzione della tua app su protocolli, domini o sottodomini diversi. Non è possibile utilizzare caratteri jolly. Nell'esempio che segue, il secondo URL potrebbe essere un URL di produzione.

      http://localhost:8080
      https://myproductionurl.example.com
      

   2. Il campo URI di reindirizzamento autorizzato non richiede un valore. Gli URI di reindirizzamento non vengono utilizzati con le API JavaScript.

   3. Premi il pulsante Crea.

6. Copia l'ID client nella finestra di dialogo Client OAuth risultante. Il Client-ID consente alla tua app di accedere alle API di Google abilitate.

Passaggio 2: includi la libreria della piattaforma Google nella tua pagina

Includi i seguenti script che dimostrano una funzione anonima che inserisci uno script nel DOM di questa pagina web index.html.

<!-- The top of file index.html -->
<html itemscope itemtype="http://schema.org/Article">
<head>
  <!-- BEGIN Pre-requisites -->
  <script src="//ajax.googleapis.com/ajax/libs/jquery/1.8.2/jquery.min.js">
  </script>
  <script src="https://apis.google.com/js/client:platform.js?onload=start" async defer>
  </script>
  <!-- END Pre-requisites -->

Passaggio 3: inizializza l'oggetto GoogleAuth

Carica la libreria auth2 e chiama gapi.auth2.init() per inizializzare l'oggetto GoogleAuth. Specifica il tuo ID client e gli ambiti che vuoi richiedere quando chiami init().

<!-- Continuing the <head> section -->
  <script>
    function start() {
      gapi.load('auth2', function() {
        auth2 = gapi.auth2.init({
          client_id: 'YOUR_CLIENT_ID.apps.googleusercontent.com',
          // Scopes to request in addition to 'profile' and 'email'
          //scope: 'additional_scope'
        });
      });
    }
  </script>
</head>
<body>
  <!-- ... -->
</body>
</html>

Passaggio 4: aggiungi il pulsante di accesso alla tua pagina

Aggiungi il pulsante di accesso alla pagina web e collega un gestore di clic per chiamare grantOfflineAccess() per avviare il flusso di codice una tantum.

<!-- Add where you want your sign-in button to render -->
<!-- Use an image that follows the branding guidelines in a real app -->
<button id="signinButton">Sign in with Google</button>
<script>
  $('#signinButton').click(function() {
    // signInCallback defined in step 6.
    auth2.grantOfflineAccess().then(signInCallback);
  });
</script>

Passaggio 5: accedi all'utente

L'utente fa clic sul pulsante di accesso e concede alla tua app l'accesso alle autorizzazioni che hai richiesto. A questo punto, alla funzione di callback che hai specificato nel metodo grantOfflineAccess().then() viene passato un oggetto JSON con un codice di autorizzazione. Ad esempio:

{"code":"4/yU4cQZTMnnMtetyFcIWNItG32eKxxxgXXX-Z4yyJJJo.4qHskT-UtugceFc0ZRONyF4z7U4UmAI"}

Passaggio 6: invia il codice di autorizzazione al server

code è il tuo codice monouso che il server può scambiare con il proprio token di accesso e il token di aggiornamento. Puoi ottenere un token di aggiornamento solo dopo che all'utente è stata visualizzata una finestra di dialogo di autorizzazione che richiede l'accesso offline. Se hai specificato select-account prompt in OfflineAccessOptions nel passaggio 4, devi archiviare il token di aggiornamento che recupererai per un utilizzo futuro, perché le piattaforme di scambio successive restituiranno null per il token di aggiornamento. Questo flusso fornisce maggiore sicurezza rispetto al flusso OAuth 2.0 standard.

I token di accesso vengono sempre restituiti con lo scambio di un codice di autorizzazione valido.

Lo script seguente definisce una funzione di callback per il pulsante di accesso. Se un accesso va a buon fine, la funzione archivia il token di accesso per l'utilizzo lato client e invia il codice monouso al server sullo stesso dominio.

<!-- Last part of BODY element in file index.html -->
<script>
function signInCallback(authResult) {
  if (authResult['code']) {

    // Hide the sign-in button now that the user is authorized, for example:
    $('#signinButton').attr('style', 'display: none');

    // Send the code to the server
    $.ajax({
      type: 'POST',
      url: 'http://example.com/storeauthcode',
      // Always include an `X-Requested-With` header in every AJAX request,
      // to protect against CSRF attacks.
      headers: {
        'X-Requested-With': 'XMLHttpRequest'
      },
      contentType: 'application/octet-stream; charset=utf-8',
      success: function(result) {
        // Handle or verify the server response.
      },
      processData: false,
      data: authResult['code']
    });
  } else {
    // There was an error.
  }
}
</script>

Passaggio 7: scambia il codice di autorizzazione con un token di accesso

Sul server, scambia il codice di autorizzazione con i token di accesso e di aggiornamento. Utilizza il token di accesso per chiamare le API di Google per conto dell'utente e, facoltativamente, memorizza il token di aggiornamento per acquisire un nuovo token di accesso alla scadenza.

Se hai richiesto l'accesso al profilo, riceverai anche un token ID contenente informazioni di base del profilo per l'utente.

Ad esempio:

// (Receive authCode via HTTPS POST)


if (request.getHeader("X-Requested-With") == null) {
  // Without the `X-Requested-With` header, this request could be forged. Aborts.
}

// Set path to the Web application client_secret_*.json file you downloaded from the
// Google API Console: https://console.cloud.google.com/apis/credentials
// You can also find your Web application client ID and client secret from the
// console and specify them directly when you create the GoogleAuthorizationCodeTokenRequest
// object.
String CLIENT_SECRET_FILE = "/path/to/client_secret.json";

// Exchange auth code for access token
GoogleClientSecrets clientSecrets =
    GoogleClientSecrets.load(
        JacksonFactory.getDefaultInstance(), new FileReader(CLIENT_SECRET_FILE));
GoogleTokenResponse tokenResponse =
          new GoogleAuthorizationCodeTokenRequest(
              new NetHttpTransport(),
              JacksonFactory.getDefaultInstance(),
              "https://oauth2.googleapis.com/token",
              clientSecrets.getDetails().getClientId(),
              clientSecrets.getDetails().getClientSecret(),
              authCode,
              REDIRECT_URI)  // Specify the same redirect URI that you use with your web
                             // app. If you don't have a web version of your app, you can
                             // specify an empty string.
              .execute();

String accessToken = tokenResponse.getAccessToken();

// Use access token to call API
GoogleCredential credential = new GoogleCredential().setAccessToken(accessToken);
Drive drive =
    new Drive.Builder(new NetHttpTransport(), JacksonFactory.getDefaultInstance(), credential)
        .setApplicationName("Auth Code Exchange Demo")
        .build();
File file = drive.files().get("appfolder").execute();

// Get profile info from ID token
GoogleIdToken idToken = tokenResponse.parseIdToken();
GoogleIdToken.Payload payload = idToken.getPayload();
String userId = payload.getSubject();  // Use this value as a key to identify a user.
String email = payload.getEmail();
boolean emailVerified = Boolean.valueOf(payload.getEmailVerified());
String name = (String) payload.get("name");
String pictureUrl = (String) payload.get("picture");
String locale = (String) payload.get("locale");
String familyName = (String) payload.get("family_name");
String givenName = (String) payload.get("given_name");

from apiclient import discovery
import httplib2
from oauth2client import client

# (Receive auth_code by HTTPS POST)


# If this request does not have `X-Requested-With` header, this could be a CSRF
if not request.headers.get('X-Requested-With'):
    abort(403)

# Set path to the Web application client_secret_*.json file you downloaded from the
# Google API Console: https://console.cloud.google.com/apis/credentials
CLIENT_SECRET_FILE = '/path/to/client_secret.json'

# Exchange auth code for access token, refresh token, and ID token
credentials = client.credentials_from_clientsecrets_and_code(
    CLIENT_SECRET_FILE,
    ['https://www.googleapis.com/auth/drive.appdata', 'profile', 'email'],
    auth_code)

# Call Google API
http_auth = credentials.authorize(httplib2.Http())
drive_service = discovery.build('drive', 'v3', http=http_auth)
appfolder = drive_service.files().get(fileId='appfolder').execute()

# Get profile info from ID token
userid = credentials.id_token['sub']
email = credentials.id_token['email']