Nachdem Sie erfolgreich die Anmeldedaten eines Nutzers oder Anmeldehinweise abgerufen haben, können Sie prüfen, ob ein ID-Token für die Anmeldedaten verfügbar ist. Ein ID-Token ist eine signierte Bestätigung der Identität eines Nutzers, die auch die grundlegenden Profilinformationen eines Nutzers enthält, z. B. eine von Google bestätigte E-Mail-Adresse. Wenn ID-Tokens verfügbar sind, können Sie sie verwenden, um sich sicher beim Back-End Ihrer Anwendung zu authentifizieren oder die E-Mail-Bestätigung beim Erstellen eines neuen Kontos zu überspringen.
Ein ID-Token ist verfügbar, wenn die Nutzer-ID eines Credential-Objekts mit der Nutzer-ID eines Google-Kontos übereinstimmt, das auf dem Gerät angemeldet ist.
Für die Anmeldung mit einem ID-Token rufen Sie zuerst das ID-Token mit der Methode getIdTokens ab. Senden Sie dann das ID-Token an das Back-End Ihrer App. Verifizieren Sie im Back-End das Token entweder mithilfe einer Google API-Clientbibliothek oder einer allgemeinen JWT-Bibliothek.
Hinweis
- Ihre App muss in der Lage sein, die Anmeldedaten eines Nutzers abzurufen oder einen Anmeldehinweis abzurufen.
- Sie müssen
setAccountTypes(IdentityProviders.GOOGLE)aufrufen, wenn Sie die ObjekteCredentialRequestundHintRequesterstellen.
ID-Token aus dem Objekt „Anmeldedaten“ abrufen
Prüfen Sie nach dem Abrufen der Anmeldedaten eines Nutzers, ob das Credentials-Objekt ein ID-Token enthält. Ist dies der Fall, rufen Sie getIdTokens auf, um sie abzurufen, und senden Sie sie über HTTPS POST an Ihr Back-End.
if (!credential.getIdTokens().isEmpty()) {
String idToken = credential.getIdTokens().get(0).getIdToken();
HttpClient httpClient = new DefaultHttpClient();
HttpPost httpPost = new HttpPost("https://yourbackend.example.com/tokensignin");
try {
List nameValuePairs = new ArrayList(1);
nameValuePairs.add(new BasicNameValuePair("idToken", idToken));
httpPost.setEntity(new UrlEncodedFormEntity(nameValuePairs));
HttpResponse response = httpClient.execute(httpPost);
int statusCode = response.getStatusLine().getStatusCode();
final String responseBody = EntityUtils.toString(response.getEntity());
Log.i(TAG, "Signed in as: " + responseBody);
}
}
ID-Token im Back-End prüfen
Nachdem Sie das ID-Token über HTTPS POST erhalten haben, müssen Sie die Signatur des Tokens und die Anforderungen aud, iss und exp des Tokens prüfen.
Die aud-Anforderung eines ID-Tokens von Smart Lock for Passwords hat das folgende Format:
android://SHA512_HASH@ANDROID_PACKAGE_NAME
Der Wert SHA512HASH ist der SHA-512-Hash des Signaturzertifikats. Sie können diesen Wert mit den Dienstprogrammen keytool und openssl abrufen:
keytool -exportcert -keystore path-to-keystore -alias key-name
'
| openssl sha -sha512 -binary
| base64 -w 0
| tr '+/' '-
Sie können den SHA-512-Hashwert auch abrufen, indem Sie ein gültiges ID-Token untersuchen.
JWT-Bibliotheken können einige dieser Überprüfungsaufgaben für dich übernehmen. Verwenden Sie beispielsweise die Google API-Clientbibliothek für Java:
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;
...
// Verifier that checks that the token has the proper issuer and audience,
// and hasn't expired
private static GoogleIdTokenVerifier verifier =
new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
.setAudience(Arrays.asList(String.format("android://%s@%s", SHA512_HASH, PACKAGE_NAME)))
.build();
// (Receive idTokenString by HTTPS POST)
GoogleIdToken idToken = verifier.verify(idTokenString);
if (idToken != null) {
Payload payload = idToken.getPayload();
System.out.println("User email: " + payload.getEmail());
if (payload.getEmailVerified()) {
System.out.println("Email verified by Google.");
}
} else {
System.out.println("Invalid ID token.");
}
Weitere Informationen findest du in der Dokumentation zu Google Log-in.