Anmeldung über ein verknüpftes Konto für Android

Die Anmeldung über verknüpfte Konten ermöglicht die Anmeldung über One Tap mit Google für Nutzer, die ihr Google-Konto bereits mit Ihrem Dienst verknüpft haben. Das verbessert die Nutzerfreundlichkeit, da sich Nutzer mit einem Klick anmelden können, ohne ihren Nutzernamen und ihr Passwort noch einmal eingeben zu müssen. Außerdem wird die Wahrscheinlichkeit verringert, dass Nutzer doppelte Konten für Ihren Dienst erstellen.

Die Anmeldung mit verknüpften Konten ist Teil der Anmeldung über One Tap für Android. Das bedeutet, dass Sie keine separate Bibliothek importieren müssen, wenn die One Tap-Funktion bereits in Ihrer App aktiviert ist.

In diesem Dokument erfahren Sie, wie Sie Ihre Android-App so ändern, dass die Anmeldung mit verknüpften Konten unterstützt wird.

Funktionsweise

1. Sie aktivieren die Anzeige verknüpfter Konten während der Anmeldung über One Tap.
2. Wenn der Nutzer bei Google angemeldet ist und sein Google-Konto mit seinem Konto in Ihrem Dienst verknüpft hat, wird ein ID-Token für das verknüpfte Konto zurückgegeben.
3. Dem Nutzer wird eine Aufforderung zur Anmeldung über One Tap angezeigt, mit der er sich mit seinem verknüpften Konto in Ihrem Dienst anmelden kann.
4. Wenn der Nutzer mit dem verknüpften Konto fortfährt, wird das ID-Token des Nutzers an Ihre App zurückgegeben. Sie gleichen es mit dem Token ab, das in Schritt 2 an Ihren Server gesendet wurde, um den angemeldeten Nutzer zu identifizieren.

Einrichtung

Entwicklungsumgebung einrichten

So erhalten Sie die neuesten Google Play-Dienste auf Ihrem Entwicklungshost:

1. Öffnen Sie den Android SDK Manager.

1. Suchen Sie unter SDK-Tools nach Google Play-Dienste.

2. Wenn der Status für diese Pakete nicht „Installiert“ lautet, wählen Sie beide aus und klicken Sie auf Pakete installieren.

Eigene App konfigurieren

1. Fügen Sie in die Datei build.gradle auf Projektebene das Maven-Repository von Google in die Abschnitte buildscript und allprojects ein.

   buildscript {
       repositories {
           google()
       }
   }
   
   allprojects {
       repositories {
           google()
       }
   }
   

2. Fügen Sie der Gradle-Datei auf App-Ebene Ihres Moduls, die in der Regel app/build.gradle ist, die Abhängigkeiten für die „Mit Google verknüpfen“-API hinzu:

   dependencies {
     implementation 'com.google.android.gms:play-services-auth:21.3.0'
   }
   

Android-App für die Anmeldung mit verknüpften Konten anpassen

Am Ende des Anmeldevorgangs mit verknüpftem Konto wird ein ID-Token an Ihre App zurückgegeben. Die Integrität des ID-Tokens sollte überprüft werden, bevor der Nutzer angemeldet wird.

Das folgende Codebeispiel beschreibt die Schritte zum Abrufen und Bestätigen des ID-Tokens und zum anschließenden Anmelden des Nutzers.

1. Aktivität erstellen, um das Ergebnis des Anmelde-Intents zu empfangen

   Kotlin

     private val activityResultLauncher = registerForActivityResult(
       ActivityResultContracts.StartIntentSenderForResult()) { result ->
       if (result.resultCode == RESULT_OK) {
         try {
           val signInCredentials = Identity.signInClient(this)
                                   .signInCredentialFromIntent(result.data)
           // Review the Verify the integrity of the ID token section for
           // details on how to verify the ID token
           verifyIdToken(signInCredential.googleIdToken)
         } catch (e: ApiException) {
           Log.e(TAG, "Sign-in failed with error code:", e)
         }
       } else {
         Log.e(TAG, "Sign-in failed")
       }
     }
   

   Java

     private final ActivityResultLauncher<IntentSenderResult>
       activityResultLauncher = registerForActivityResult(
       new ActivityResultContracts.StartIntentSenderForResult(),
       result -> {
       If (result.getResultCode() == RESULT_OK) {
           try {
             SignInCredential signInCredential = Identity.getSignInClient(this)
                            .getSignInCredentialFromIntent(result.getData());
             verifyIdToken(signInCredential.getGoogleIdToken());
           } catch (e: ApiException ) {
             Log.e(TAG, "Sign-in failed with error:", e)
           }
       } else {
           Log.e(TAG, "Sign-in failed")
       }
   });
   

2. Anmeldung erstellen

   Kotlin

   private val tokenRequestOptions =
   GoogleIdTokenRequestOptions.Builder()
     .supported(true)
     // Your server's client ID, not your Android client ID.
     .serverClientId(getString("your-server-client-id")
     .filterByAuthorizedAccounts(true)
     .associateLinkedAccounts("service-id-of-and-defined-by-developer",
                              scopes)
     .build()
   

   Java

    private final GoogleIdTokenRequestOptions tokenRequestOptions =
        GoogleIdTokenRequestOptions.Builder()
     .setSupported(true)
     .setServerClientId("your-service-client-id")
     .setFilterByAuthorizedAccounts(true)
     .associateLinkedAccounts("service-id-of-and-defined-by-developer",
                               scopes)
     .build()
   

3. Intent „Anmeldung ausstehend“ starten

   Kotlin

    Identity.signInClient(this)
       .beginSignIn(
     BeginSignInRequest.Builder()
       .googleIdTokenRequestOptions(tokenRequestOptions)
     .build())
       .addOnSuccessListener{result ->
         activityResultLauncher.launch(result.pendingIntent.intentSender)
     }
     .addOnFailureListener {e ->
       Log.e(TAG, "Sign-in failed because:", e)
     }
   

   Java

    Identity.getSignInClient(this)
     .beginSignIn(
       BeginSignInRequest.Builder()
         .setGoogleIdTokenRequestOptions(tokenRequestOptions)
         .build())
     .addOnSuccessListener(result -> {
       activityResultLauncher.launch(
           result.getPendingIntent().getIntentSender());
   })
   .addOnFailureListener(e -> {
     Log.e(TAG, "Sign-in failed because:", e);
   });
   

Integrität des ID-Tokens prüfen

Google API-Clientbibliothek verwenden

Die Verwendung der Java Google API-Clientbibliothek ist die empfohlene Methode zum Validieren von Google-ID-Tokens in einer Produktionsumgebung.

  import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
  import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload;
  import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;

  ...

  GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
      // Specify the CLIENT_ID of the app that accesses the backend:
      .setAudience(Collections.singletonList(CLIENT_ID))
      // Or, if multiple clients access the backend:
      //.setAudience(Arrays.asList(CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3))
      .build();

  // (Receive idTokenString by HTTPS POST)

  GoogleIdToken idToken = verifier.verify(idTokenString);
  if (idToken != null) {
    Payload payload = idToken.getPayload();

    // Print user identifier
    String userId = payload.getSubject();
    System.out.println("User ID: " + userId);

    // Get profile information from payload
    String email = payload.getEmail();
    boolean emailVerified = Boolean.valueOf(payload.getEmailVerified());
    String name = (String) payload.get("name");
    String pictureUrl = (String) payload.get("picture");
    String locale = (String) payload.get("locale");
    String familyName = (String) payload.get("family_name");
    String givenName = (String) payload.get("given_name");

    // Use or store profile information
    // ...

  } else {
    System.out.println("Invalid ID token.");
  }

Die Methode GoogleIdTokenVerifier.verify() überprüft die JWT-Signatur, die aud-Anforderung, die iss-Anforderung und die exp-Anforderung.

Wenn Sie bestätigen müssen, dass das ID-Token ein Google Workspace- oder Cloud-Organisationskonto darstellt, können Sie den hd-Anspruch überprüfen, indem Sie den von der Payload.getHostedDomain()-Methode zurückgegebenen Domainnamen prüfen.