Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Digital Credentials API की मदद से, ईमेल पते की पुष्टि करने की सुविधा लागू करना

इस गाइड में, OpenID for Verifiable Presentations (OpenID4VP) के अनुरोध के ज़रिए, Digital Credentials Verifier API का इस्तेमाल करके, पुष्टि किए गए ईमेल पते को वापस पाने का तरीका बताया गया है.

डिपेंडेंसी जोड़ें

अपने ऐप्लिकेशन की build.gradle फ़ाइल में, Credential Manager के लिए ये डिपेंडेंसी जोड़ें:

Kotlin

dependencies {
    implementation("androidx.credentials:credentials:1.7.0-alpha02")
    implementation("androidx.credentials:credentials-play-services-auth:1.7.0-alpha02")
}

Groovy

dependencies {
    implementation "androidx.credentials:credentials:1.7.0-alpha02"
    implementation "androidx.credentials:credentials-play-services-auth:1.7.0-alpha02"
}

Credential Manager शुरू करना

CredentialManager ऑब्जेक्ट बनाने के लिए, अपने ऐप्लिकेशन या गतिविधि के कॉन्टेक्स्ट का इस्तेमाल करें.

// Use your app or activity context to instantiate a client instance of
// CredentialManager.
private val credentialManager = CredentialManager.create(context)

डिजिटल क्रेडेंशियल का अनुरोध बनाना

पुष्टि किए गए ईमेल पते का अनुरोध करने के लिए, GetCredentialRequest बनाएं. इसमें GetDigitalCredentialOption शामिल होना चाहिए. इस विकल्प के लिए, requestJson स्ट्रिंग की ज़रूरत होती है. इसे OpenID for Verifiable Presentations (OpenID4VP) के अनुरोध के तौर पर फ़ॉर्मैट किया जाता है.

OpenID4VP के अनुरोध के JSON का स्ट्रक्चर तय होना चाहिए. मौजूदा प्रोवाइडर, "digital": {"requests": [...]} रैपर के साथ JSON स्ट्रक्चर को सपोर्ट करते हैं.

    val nonce = generateSecureRandomNonce()

    // This request follows the OpenID4VP spec
    val openId4vpRequest = """
{
  "requests": [
    {
      "protocol": "openid4vp-v1-unsigned",
      "data": {
        "response_type": "vp_token",
        "response_mode": "dc_api",
        "nonce": "$nonce",
        "dcql_query": {
          "credentials": [
            {
              "id": "user_info_query",
              "format": "dc+sd-jwt",
               "meta": { 
                  "vct_values": ["UserInfoCredential"] 
               },
              "claims": [ 
                {"path": ["email"]}, 
                {"path": ["name"]},  
                {"path": ["given_name"]},
                {"path": ["family_name"]},
                {"path": ["picture"]},
                {"path": ["hd"]},
                {"path": ["email_verified"]}
              ]
            }
          ]
        }
      }
    }
  ]
}
"""

    val getDigitalCredentialOption = GetDigitalCredentialOption(requestJson = openId4vpRequest)
    val request = GetCredentialRequest(listOf(getDigitalCredentialOption))

अनुरोध में, यह अहम जानकारी शामिल होती है:

DCQL क्वेरी: dcql_query में क्रेडेंशियल का टाइप और अनुरोध किए जा रहे दावे (email_verified) तय किए जाते हैं. पुष्टि का लेवल तय करने के लिए, अन्य दावों का अनुरोध किया जा सकता है. कुछ दावे यहां दिए गए हैं:
- email_verified: जवाब में, यह बूलियन होता है. इससे पता चलता है कि ईमेल की पुष्टि की गई है या नहीं.
- hd (होस्ट किया गया डोमेन): जवाब में, यह खाली होता है.
ध्यान दें: अगर email_verified की वैल्यू true है और hd खाली है, तो इसका मतलब है कि खाता, अनुमति वाला Google खाता है. फ़िलहाल, Google, पुष्टि किए जा सकने वाले क्रेडेंशियल Google Workspace खातों के लिए जारी नहीं करता. हालांकि, Workspace के अलावा अन्य खातों के लिए जारी किए जा सकने वाले क्रेडेंशियल में, hd फ़ील्ड मौजूद होता है. हमारा सुझाव है कि अपने ऐप्लिकेशन को भविष्य के लिए तैयार करने के लिए, इस फ़ील्ड को मैनेज करने की सुविधा लागू करें.
अगर ईमेल पता @gmail.com वाला नहीं है, तो Google खाता बनाते समय, Google ने इस ईमेल पते की पुष्टि की थी. हालांकि, इसमें फ़्रेशनेस का दावा नहीं किया गया है. इसलिए, Google के अलावा अन्य ईमेल पतों के लिए, उपयोगकर्ता की पुष्टि करने के लिए, आपको कोई और तरीका अपनाना चाहिए. जैसे, ओटीपी. क्रेडेंशियल के स्कीमा और email_verified जैसे फ़ील्ड की पुष्टि करने के लिए, खास नियमों के बारे में जानने के लिए, Google Identity की गाइड देखें.
nonce: हर अनुरोध के लिए, क्रिप्टोग्राफ़िक तरीके से सुरक्षित, एक यूनीक रैंडम वैल्यू जनरेट की जाती है. यह सुरक्षा के लिए ज़रूरी है, क्योंकि इससे रीप्ले हमलों को रोका जा सकता है.
UserInfoCredential: इस वैल्यू का मतलब है कि यह एक खास तरह का डिजिटल क्रेडेंशियल है, जिसमें उपयोगकर्ता के एट्रिब्यूट शामिल होते हैं. ईमेल पते की पुष्टि करने के इस्तेमाल के उदाहरण को अलग दिखाने के लिए, इसे अनुरोध में शामिल करना ज़रूरी है.

इसके बाद, openId4vpRequest JSON को GetDigitalCredentialOption में रैप करें. साथ ही, GetCredentialRequest बनाएं और getCredential() को कॉल करें.

उपयोगकर्ता को अनुरोध दिखाना

Credential Manager के पहले से मौजूद यूज़र इंटरफ़ेस (यूआई) का इस्तेमाल करके, उपयोगकर्ता को अनुरोध दिखाएं.

try {
    // Requesting Digital Credential from user...
    val result = credentialManager.getCredential(activity, request)

    when (val credential = result.credential) {
        is DigitalCredential -> {
            val responseJsonString = credential.credentialJson

            // Successfully received digital credential response.

            // Next, parse this response and send it to your server.
            // ...
        }

        else -> {
            // handle Unexpected State() - Up to the developer
        }
    }
} catch (e: Exception) {
    // handle exceptions - Up to the developer
}

ध्यान दें: डिजिटल क्रेडेंशियल के लिए, 'Google से साइन इन करें' की preferImmediatelyAvailableCredentials के जैसी कोई सुविधा उपलब्ध नहीं है. अगर पुष्टि किया जा सकने वाला कोई क्रेडेंशियल नहीं मिलता है (उदाहरण के लिए, डिवाइस पर कोई ज़रूरी शर्तें पूरी करने वाला खाता नहीं है), तो उपयोगकर्ता को "कोई विकल्प उपलब्ध नहीं है" या इसी तरह की कोई सिस्टम स्क्रीन दिखेगी.

क्लाइंट पर जवाब पार्स करना

जवाब मिलने के बाद, क्लाइंट पर शुरुआती तौर पर पार्स किया जा सकता है. यह यूज़र इंटरफ़ेस (यूआई) को तुरंत अपडेट करने के लिए काम का है. जैसे, उपयोगकर्ता का नाम दिखाना.

यहां दिए गए कोड से, चुनिंदा जानकारी वाले JWT (एसडी-JWT) को एक्सट्रैक्ट किया जाता है. साथ ही, इसके दावों को डिकोड करने के लिए, हेल्पर का इस्तेमाल किया जाता है.

// 1. Parse the outer JSON wrapper to get the `vp_token`
val responseData = JSONObject(responseJsonString)
val vpToken = responseData.getJSONObject("vp_token")

// 2. Extract the raw SD-JWT string
val credentialId = vpToken.keys().next()
val rawSdJwt = vpToken.getJSONArray(credentialId).getString(0)

// 3. Use your parser to get the verified claims
// Server-side validation/parsing is highly recommended.

// Assumes a local parser like the one in our SdJwtParser.kt sample
val claims = SdJwtParser.parse(rawSdJwt)
Log.d("TAG", "Parsed Claims: ${claims.toString(2)}")

// 4. Create your VerifiedUserInfo object with REAL data
val userInfo = VerifiedUserInfo(
    email = claims.getString("email"),
    displayName = claims.optString("name", claims.getString("email"))
)

जवाब मैनेज करना

Credential Manager API, DigitalCredential का जवाब देगा.

responseJsonString का रॉ फ़ॉर्मैट और अंदर मौजूद एसडी-JWT को पार्स करने के बाद, दावे कैसे दिखते हैं, इसका उदाहरण यहां दिया गया है. इसमें, पुष्टि किए गए ईमेल पते के साथ-साथ, आपको अतिरिक्त मेटाडेटा भी मिलता है:

/*
// Example of the raw JSON response from credential.credentialJson:
{
  "vp_token": {
    // This key matches the 'id' you set in your dcql_query
    "user_info_query": [
      // The SD-JWT string (Issuer JWT ~ Disclosures ~ Key Binding JWT)
      "eyJhbGciOiJ...~WyI...IiwgImVtYWlsIiwgInVzZXJAZXhhbXBsZS5jb20iXQ~...~eyJhbGciOiJ..."
    ]
  }
}

// Example of the parsed and verified claims from the SD-JWT on your server:
{
  "cnf": {
    "jwk": {..}
  },
  "exp": 1775688222,
  "iat": 1775083422,
  "iss": "https://verifiablecredentials-pa.googleapis.com",
  "vct": "UserInfoCredential",
  "email": "jane.doe.246745@gmail.com",
  "email_verified": true,
  "given_name": "Jane",
  "family_name": "Doe",
  "name": "Jane Doe",
  "picture": "http://example.com/janedoe/me.jpg",
  "hd": ""
}
 */

खाता बनाने के लिए, सर्वर-साइड पर की गई पुष्टि

पुष्टि किया गया ईमेल पता, क्रिप्टोग्राफ़िक तरीके से पुष्टि किया जाता है. इसलिए, ईमेल पते की पुष्टि करने के लिए ओटीपी भेजने की प्रोसेस को छोड़ा जा सकता है. इससे साइन-अप में होने वाली परेशानी काफ़ी कम हो जाती है और कन्वर्ज़न बढ़ने की संभावना बढ़ जाती है. इस प्रोसेस को आपके सर्वर पर मैनेज करना सबसे सही है. क्लाइंट, रॉ जवाब (vp_token वाला) और ओरिजनल nonce को, नए सर्वर एंडपॉइंट पर भेजता है.

पुष्टि करने के लिए, आपके ऐप्लिकेशन को पूरा responseJsonString आपके सर्वर पर भेजना होगा. ऐसा खाता बनाने या उपयोगकर्ता को लॉग इन करने से पहले, क्रिप्टोग्राफ़िक पुष्टि के लिए करना होगा.

डिजिटल क्रेडेंशियल, आपके सर्वर के लिए पुष्टि के दो अहम लेवल उपलब्ध कराता है:

डेटा की असलियत की पुष्टि करना: जारी करने वाले (iss) यूआरएल और SD-JWT के हस्ताक्षर की पुष्टि करने से यह साबित होता है कि इस डेटा को किसी भरोसेमंद अथॉरिटी ने जारी किया है.
प्रज़ेंटर की पहचान की पुष्टि करना: cnf फ़ील्ड और Key Binding (kb) के हस्ताक्षर की पुष्टि करने से यह पक्का होता है कि क्रेडेंशियल को उसी डिवाइस से शेयर किया जा रहा है जिसके लिए इसे जारी किया गया था. इससे, इसे इंटरसेप्ट होने या किसी दूसरे डिवाइस पर इस्तेमाल होने से रोका जा सकता है.

सर्वर पर की गई पुष्टि में, ये काम पूरे होने चाहिए:

जारी करने वाले की पुष्टि करना: पक्का करें कि iss (जारी करने वाला) फ़ील्ड, https://verifiablecredentials-pa.googleapis.com से मेल खाता हो.
हस्ताक्षर की पुष्टि करना: https://verifiablecredentials-pa.googleapis.com/.well-known/vc-public-jwks पर उपलब्ध सार्वजनिक पासकोड (JWK) का इस्तेमाल करके, एसडी-JWT के हस्ताक्षर की जांच करें.

पूरी सुरक्षा के लिए, पक्का करें कि आपने nonce की भी पुष्टि की हो, ताकि रीप्ले हमलों को रोका जा सके.

इन चरणों को मिलाकर, आपका सर्वर डेटा की असलियत और प्रज़ेंटर की पहचान, दोनों की पुष्टि कर सकता है. इससे यह पक्का होता है कि नया खाता उपलब्ध कराने से पहले, क्रेडेंशियल को इंटरसेप्ट या स्पूफ़ नहीं किया गया था.

try {
    // Send the raw credential response and the original nonce to your server.
    // Your server must validate the response. createAccountWithVerifiedCredentials
    // is a custom implementation per each RP for server side verification and account creation.
    val serverResponse = createAccountWithVerifiedCredentials(responseJsonString, nonce)

    // Server returns the new account info (e.g., email, name)
    val claims = JSONObject(serverResponse.json)

    val userInfo = VerifiedUserInfo(
        email = claims.getString("email"),
        displayName = claims.optString("name", claims.getString("email"))
    )

    // handle response - Up to the developer
} catch (e: Exception) {
    // handle exceptions - Up to the developer
}

पासकी बनाना

खाता उपलब्ध कराने के बाद, अगला चरण पासकी बनाना है. यह ज़रूरी नहीं है, लेकिन हमारा सुझाव है कि इसे ज़रूर करें. इससे उपयोगकर्ता को साइन इन करने का एक सुरक्षित और पासवर्ड के बिना वाला तरीका मिलता है. यह फ़्लो, पासकी के सामान्य रजिस्ट्रेशन जैसा ही होता है.

वेबव्यू के लिए सहायता

वेबव्यू पर फ़्लो को काम करने के लिए, डेवलपर को हैंडऑफ़ की सुविधा देने के लिए, JavaScript ब्रिज (जेएस ब्रिज) लागू करना चाहिए. इस ब्रिज की मदद से, वेबव्यू, नेटिव ऐप्लिकेशन को सिग्नल दे सकता है. इसके बाद, नेटिव ऐप्लिकेशन, Credential Manager API को कॉल कर सकता है.