Se utilizzi Accedi con Google su un'app o un sito che comunica con un server di backend, potresti dover identificare l'utente che ha eseguito l'accesso sul server. Per farlo in sicurezza, dopo che un utente ha eseguito l'accesso, invia il token ID dell'utente al tuo server utilizzando HTTPS. Quindi, sul server, verifica l'integrità del token ID e utilizza le informazioni utente contenute nel token per stabilire una sessione o creare un nuovo account.
Invia il token ID al tuo server
Dopo che un utente ha eseguito l'accesso, recupera il token ID dell'utente:
Swift
GIDSignIn.sharedInstance.signIn(withPresenting: self) { signInResult, error in guard error == nil else { return } guard let signInResult = signInResult else { return } signInResult.user.refreshTokensIfNeeded { user, error in guard error == nil else { return } guard let user = user else { return } let idToken = user.idToken // Send ID token to backend (example below). } }
Objective-C
[GIDSignIn.sharedInstance signInWithPresentingViewController:self completion:^(GIDSignInResult * _Nullable signInResult, NSError * _Nullable error) { if (error) { return; } if (signInResult == nil) { return; } [signInResult.user refreshTokensIfNeededWithCompletion:^(GIDGoogleUser * _Nullable user, NSError * _Nullable error) { if (error) { return; } if (user == nil) { return; } NSString *idToken = user.idToken; // Send ID token to backend (example below). }]; }];
Quindi, invia il token ID al tuo server con una richiesta POST HTTPS:
Swift
func tokenSignInExample(idToken: String) { guard let authData = try? JSONEncoder().encode(["idToken": idToken]) else { return } let url = URL(string: "https://yourbackend.example.com/tokensignin")! var request = URLRequest(url: url) request.httpMethod = "POST" request.setValue("application/json", forHTTPHeaderField: "Content-Type") let task = URLSession.shared.uploadTask(with: request, from: authData) { data, response, error in // Handle response from your backend. } task.resume() }
Objective-C
NSString *signinEndpoint = @"https://yourbackend.example.com/tokensignin"; NSDictionary *params = @{@"idtoken": idToken}; NSMutableURLRequest *request = [NSMutableURLRequest requestWithURL:signinEndpoint]; [request setValue:@"application/x-www-form-urlencoded" forHTTPHeaderField:@"Content-Type"]; [request setHTTPMethod:@"POST"]; [request setHTTPBody:[self httpBodyForParamsDictionary:params]]; NSOperationQueue *queue = [[NSOperationQueue alloc] init]; [NSURLConnection sendAsynchronousRequest:request queue:queue completionHandler:^(NSURLResponse *response, NSData *data, NSError *error) { if (error) { NSLog(@"Error: %@", error.localizedDescription); } else { NSLog(@"Signed in as %@", data.bytes); } }];
Verifica l'integrità del token ID
Dopo aver ricevuto il token ID tramite HTTPS POST, devi verificarne l'integrità.
Per verificare che il token sia valido, assicurati che siano soddisfatti i seguenti criteri:
- Il token ID sia firmato correttamente da Google. Utilizza le chiavi pubbliche di Google (disponibili in formato JWK o PEM) per verificare la firma del token. Queste chiavi vengono ruotate regolarmente; esamina l'intestazione
Cache-Control
nella risposta per determinare quando devi recuperarle di nuovo. - Il valore di
aud
nel token ID è uguale a uno degli ID client della tua app. Questo controllo è necessario per impedire che i token ID emessi a un'app dannosa vengano utilizzati per accedere ai dati sullo stesso utente sul server di backend dell'app. - Il valore di
iss
nel token ID è uguale aaccounts.google.com
ohttps://accounts.google.com
. - La scadenza (
exp
) del token ID non è trascorsa. - Se devi verificare che il token ID rappresenti un account Google Workspace o Cloud dell'organizzazione, puoi controllare la rivendicazione
hd
, che indica il dominio ospitato dell'utente. Questa opzione deve essere utilizzata per limitare l'accesso a una risorsa ai soli membri di determinati domini. L'assenza di questa rivendicazione indica che l'account non appartiene a un dominio ospitato da Google.
Anziché scrivere il tuo codice per eseguire questi passaggi di verifica, ti consigliamo
vivamente di utilizzare una libreria client API di Google per la tua piattaforma o una libreria JWT
generica. Per lo sviluppo e il debug, puoi chiamare il nostro endpoint di convalida tokeninfo
.
Utilizzo di una libreria client delle API di Google
L'utilizzo di una delle librerie client delle API di Google (ad esempio Java, Node.js, PHP, Python) è il metodo consigliato per convalidare i token ID Google in un ambiente di produzione.
Per convalidare un token ID in Java, utilizza l'oggetto GoogleIdTokenVerifier. Ad esempio:
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken; import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload; import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier; ... GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory) // Specify the CLIENT_ID of the app that accesses the backend: .setAudience(Collections.singletonList(CLIENT_ID)) // Or, if multiple clients access the backend: //.setAudience(Arrays.asList(CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3)) .build(); // (Receive idTokenString by HTTPS POST) GoogleIdToken idToken = verifier.verify(idTokenString); if (idToken != null) { Payload payload = idToken.getPayload(); // Print user identifier String userId = payload.getSubject(); System.out.println("User ID: " + userId); // Get profile information from payload String email = payload.getEmail(); boolean emailVerified = Boolean.valueOf(payload.getEmailVerified()); String name = (String) payload.get("name"); String pictureUrl = (String) payload.get("picture"); String locale = (String) payload.get("locale"); String familyName = (String) payload.get("family_name"); String givenName = (String) payload.get("given_name"); // Use or store profile information // ... } else { System.out.println("Invalid ID token."); }
Il metodo GoogleIdTokenVerifier.verify()
verifica la firma JWT, l'attestazione aud
, le rivendicazioni iss
e exp
.
Se devi verificare che il token ID rappresenti un account Google Workspace o Cloud dell'organizzazione, puoi verificare la rivendicazione hd
controllando il nome di dominio restituito dal metodo Payload.getHostedDomain()
. Il dominio della rivendicazione email
non è sufficiente per garantire che l'account sia gestito da un dominio o da un'organizzazione.
Per convalidare un token ID in Node.js, utilizza la libreria di autenticazione di Google per Node.js. Installa la libreria:
npm install google-auth-library --saveQuindi, chiama la funzione
verifyIdToken()
. Ad esempio:
const {OAuth2Client} = require('google-auth-library'); const client = new OAuth2Client(); async function verify() { const ticket = await client.verifyIdToken({ idToken: token, audience: CLIENT_ID, // Specify the CLIENT_ID of the app that accesses the backend // Or, if multiple clients access the backend: //[CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3] }); const payload = ticket.getPayload(); const userid = payload['sub']; // If the request specified a Google Workspace domain: // const domain = payload['hd']; } verify().catch(console.error);
La funzione verifyIdToken
verifica la firma JWT, l'attestazione aud
, le attestazioni exp
e iss
.
Se devi verificare che il token ID rappresenti un account Google Workspace o Cloud dell'organizzazione, puoi controllare la rivendicazione hd
, che indica il dominio ospitato dell'utente. Questa opzione deve essere utilizzata per limitare l'accesso a una risorsa ai soli membri di determinati domini. L'assenza di questa rivendicazione indica che l'account non appartiene a un dominio ospitato da Google.
Per convalidare un token ID in PHP, utilizza la libreria client delle API di Google per PHP. Installa la libreria (ad esempio, utilizzando Composer):
composer require google/apiclientQuindi chiama la funzione
verifyIdToken()
. Ad esempio:
require_once 'vendor/autoload.php'; // Get $id_token via HTTPS POST. $client = new Google_Client(['client_id' => $CLIENT_ID]); // Specify the CLIENT_ID of the app that accesses the backend $payload = $client->verifyIdToken($id_token); if ($payload) { $userid = $payload['sub']; // If the request specified a Google Workspace domain //$domain = $payload['hd']; } else { // Invalid ID token }
La funzione verifyIdToken
verifica la firma JWT, l'attestazione aud
, le attestazioni exp
e iss
.
Se devi verificare che il token ID rappresenti un account Google Workspace o Cloud dell'organizzazione, puoi controllare la rivendicazione hd
, che indica il dominio ospitato dell'utente. Questa opzione deve essere utilizzata per limitare l'accesso a una risorsa ai soli membri di determinati domini. L'assenza di questa rivendicazione indica che l'account non appartiene a un dominio ospitato da Google.
Per convalidare un token ID in Python, utilizza la funzione verify_oauth2_token. Ad esempio:
from google.oauth2 import id_token from google.auth.transport import requests # (Receive token by HTTPS POST) # ... try: # Specify the CLIENT_ID of the app that accesses the backend: idinfo = id_token.verify_oauth2_token(token, requests.Request(), CLIENT_ID) # Or, if multiple clients access the backend server: # idinfo = id_token.verify_oauth2_token(token, requests.Request()) # if idinfo['aud'] not in [CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3]: # raise ValueError('Could not verify audience.') # If the request specified a Google Workspace domain # if idinfo['hd'] != DOMAIN_NAME: # raise ValueError('Wrong domain name.') # ID token is valid. Get the user's Google Account ID from the decoded token. userid = idinfo['sub'] except ValueError: # Invalid token pass
La funzione verify_oauth2_token
verifica la firma JWT, l'attestazione aud
e l'attestazione exp
.
Devi anche verificare la dichiarazione hd
(se applicabile) esaminando l'oggetto restituito da verify_oauth2_token
. Se più client accedono al server di backend, verifica anche manualmente la rivendicazione aud
.
Calling the tokeninfo endpoint
An easy way to validate an ID token signature for debugging is to
use the tokeninfo
endpoint. Calling this endpoint involves an
additional network request that does most of the validation for you while you test proper
validation and payload extraction in your own code. It is not suitable for use in production
code as requests may be throttled or otherwise subject to intermittent errors.
To validate an ID token using the tokeninfo
endpoint, make an HTTPS
POST or GET request to the endpoint, and pass your ID token in the
id_token
parameter.
For example, to validate the token "XYZ123", make the following GET request:
https://oauth2.googleapis.com/tokeninfo?id_token=XYZ123
If the token is properly signed and the iss
and exp
claims have the expected values, you will get a HTTP 200 response, where the body
contains the JSON-formatted ID token claims.
Here's an example response:
{ // These six fields are included in all Google ID Tokens. "iss": "https://accounts.google.com", "sub": "110169484474386276334", "azp": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com", "aud": "1008719970978-hb24n2dstb40o45d4feuo2ukqmcc6381.apps.googleusercontent.com", "iat": "1433978353", "exp": "1433981953", // These seven fields are only included when the user has granted the "profile" and // "email" OAuth scopes to the application. "email": "testuser@gmail.com", "email_verified": "true", "name" : "Test User", "picture": "https://lh4.googleusercontent.com/-kYgzyAWpZzJ/ABCDEFGHI/AAAJKLMNOP/tIXL9Ir44LE/s99-c/photo.jpg", "given_name": "Test", "family_name": "User", "locale": "en" }
If you need to validate that the ID token represents a Google Workspace account, you can check
the hd
claim, which indicates the hosted domain of the user. This must be used when
restricting access to a resource to only members of certain domains. The absence of this claim
indicates that the account does not belong to a Google Workspace hosted domain.
Creare un account o una sessione
Dopo aver verificato il token, controlla se l'utente si trova già nel tuo database utenti. In tal caso, stabilisci una sessione autenticata per l'utente. Se l'utente non è ancora presente nel tuo database utenti, crea un nuovo record utente dalle informazioni contenute nel payload del token ID e stabilisci una sessione per l'utente. Puoi richiedere all'utente eventuali informazioni del profilo aggiuntive di cui hai bisogno quando rilevi un nuovo utente nella tua app.
Proteggere gli account degli utenti con la Protezione su più account
Quando ti affidi a Google per accedere a un utente, beneficerai automaticamente di tutte le funzionalità e l'infrastruttura di sicurezza che Google ha creato per salvaguardare i dati dell'utente. Tuttavia, nell'improbabile caso che l'Account Google dell'utente venga compromesso o si verifichi un altro evento di sicurezza significativo, anche la tua app può essere vulnerabile agli attacchi. Per proteggere meglio i tuoi account dai principali eventi di sicurezza, utilizza la Protezione su più account per ricevere avvisi di sicurezza da Google. Quando ricevi questi eventi, hai visibilità sulle modifiche importanti apportate alla sicurezza dell'Account Google dell'utente e puoi quindi intervenire sul servizio per proteggere i tuoi account.