כניסה לחשבון מקושר עבור Android

כניסה באמצעות חשבון מקושר מאפשרת למשתמשים שכבר קישרו את חשבון Google שלהם לשירות שלכם להשתמש בכניסה באמצעות Google בנגיעה אחת. כך החוויה של המשתמשים משתפרת, כי הם יכולים להיכנס לחשבון בלחיצה אחת, בלי להזין שוב את שם המשתמש והסיסמה. בנוסף, היא מפחיתה את הסיכוי שמשתמשים ייצרו חשבונות כפולים בשירות.

הכניסה באמצעות חשבון מקושר זמינה כחלק מתהליך הכניסה בנגיעה אחת ל-Android. המשמעות היא שאין צורך לייבא ספרייה נפרדת אם התכונה 'הקשה אחת' כבר מופעלת באפליקציה.

במסמך הזה נסביר איך לשנות את האפליקציה ל-Android כך שתתמוך בכניסה באמצעות חשבון מקושר.

איך זה עובד

  1. אתם יכולים להביע הסכמה להצגת חשבונות מקושרים במהלך תהליך הכניסה בנגיעה אחת.
  2. אם המשתמש מחובר ל-Google וקשר את חשבון Google שלו לחשבון שלו בשירות שלכם, יוחזר אסימון מזהה עבור החשבון המקושר.
  3. המשתמש מקבל בקשה להיכנס באמצעות 'הקשה אחת', עם אפשרות להיכנס לשירות באמצעות החשבון המקושר שלו.
  4. אם המשתמש יבחר להמשיך עם החשבון המקושר, אסימון המזהה של המשתמש יוחזר לאפליקציה. אתם צריכים להתאים אותו לאסימון שנשלח לשרת שלכם בשלב 2 כדי לזהות את המשתמש שמחובר.

הגדרה

הגדרת סביבת הפיתוח

מורידים את הגרסה האחרונה של Google Play Services למארח הפיתוח:

  1. פותחים את Android SDK Manager.
  1. בקטע SDK Tools, מחפשים את Google Play Services.

  2. אם הסטטוס של החבילות האלה הוא לא 'מותקן', בוחרים בשתיהן ולוחצים על התקנת החבילות.

הגדרת האפליקציה

  1. בקובץ build.gradle ברמת הפרויקט, צריך לכלול את מאגר Maven של Google גם בקטע buildscript וגם בקטע allprojects.

    buildscript {
        repositories {
            google()
        }
    }
    
    allprojects {
        repositories {
            google()
        }
    }
    
  2. מוסיפים את יחסי התלות של ה-API 'קישור ל-Google' לקובץ ה-Gradle ברמת האפליקציה של המודול, שבדרך כלל הוא app/build.gradle:

    dependencies {
      implementation 'com.google.android.gms:play-services-auth:21.3.0'
    }
    

שינוי האפליקציה ל-Android כך שתתמוך בכניסה באמצעות חשבון מקושר

בסוף תהליך הכניסה לחשבון המקושר, אסימון מזהה מוחזר לאפליקציה. צריך לאמת את תקינות האסימון המזהה לפני שמכניסים את המשתמש.

בקוד לדוגמה הבא מפורטים השלבים לאחזור, אימות האסימון המזהה ולאחר מכן כניסה של המשתמש.

  1. יצירת פעילות לקבלת התוצאה של כוונת הכניסה

    Kotlin

      private val activityResultLauncher = registerForActivityResult(
        ActivityResultContracts.StartIntentSenderForResult()) { result ->
        if (result.resultCode == RESULT_OK) {
          try {
            val signInCredentials = Identity.signInClient(this)
                                    .signInCredentialFromIntent(result.data)
            // Review the Verify the integrity of the ID token section for
            // details on how to verify the ID token
            verifyIdToken(signInCredential.googleIdToken)
          } catch (e: ApiException) {
            Log.e(TAG, "Sign-in failed with error code:", e)
          }
        } else {
          Log.e(TAG, "Sign-in failed")
        }
      }
    

    Java

      private final ActivityResultLauncher<IntentSenderResult>
        activityResultLauncher = registerForActivityResult(
        new ActivityResultContracts.StartIntentSenderForResult(),
        result -> {
        If (result.getResultCode() == RESULT_OK) {
            try {
              SignInCredential signInCredential = Identity.getSignInClient(this)
                             .getSignInCredentialFromIntent(result.getData());
              verifyIdToken(signInCredential.getGoogleIdToken());
            } catch (e: ApiException ) {
              Log.e(TAG, "Sign-in failed with error:", e)
            }
        } else {
            Log.e(TAG, "Sign-in failed")
        }
    });
    
  2. פיתוח הבקשה לכניסה לחשבון

    Kotlin

    private val tokenRequestOptions =
    GoogleIdTokenRequestOptions.Builder()
      .supported(true)
      // Your server's client ID, not your Android client ID.
      .serverClientId(getString("your-server-client-id")
      .filterByAuthorizedAccounts(true)
      .associateLinkedAccounts("service-id-of-and-defined-by-developer",
                               scopes)
      .build()
    

    Java

     private final GoogleIdTokenRequestOptions tokenRequestOptions =
         GoogleIdTokenRequestOptions.Builder()
      .setSupported(true)
      .setServerClientId("your-service-client-id")
      .setFilterByAuthorizedAccounts(true)
      .associateLinkedAccounts("service-id-of-and-defined-by-developer",
                                scopes)
      .build()
    
  3. הפעלת הכוונה 'הכניסה בהמתנה'

    Kotlin

     Identity.signInClient(this)
        .beginSignIn(
      BeginSignInRequest.Builder()
        .googleIdTokenRequestOptions(tokenRequestOptions)
      .build())
        .addOnSuccessListener{result ->
          activityResultLauncher.launch(result.pendingIntent.intentSender)
      }
      .addOnFailureListener {e ->
        Log.e(TAG, "Sign-in failed because:", e)
      }
    

    Java

     Identity.getSignInClient(this)
      .beginSignIn(
        BeginSignInRequest.Builder()
          .setGoogleIdTokenRequestOptions(tokenRequestOptions)
          .build())
      .addOnSuccessListener(result -> {
        activityResultLauncher.launch(
            result.getPendingIntent().getIntentSender());
    })
    .addOnFailureListener(e -> {
      Log.e(TAG, "Sign-in failed because:", e);
    });
    

אימות תקינות האסימון המזהה

שימוש בספריית לקוח של Google API

השימוש בספריית הלקוח של Google API ל-Java הוא הדרך המומלצת לאימות אסימוני מזהה של Google בסביבת ייצור.

Java

  import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
  import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload;
  import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;

  ...

  GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
      // Specify the CLIENT_ID of the app that accesses the backend:
      .setAudience(Collections.singletonList(CLIENT_ID))
      // Or, if multiple clients access the backend:
      //.setAudience(Arrays.asList(CLIENT_ID_1, CLIENT_ID_2, CLIENT_ID_3))
      .build();

  // (Receive idTokenString by HTTPS POST)

  GoogleIdToken idToken = verifier.verify(idTokenString);
  if (idToken != null) {
    Payload payload = idToken.getPayload();

    // Print user identifier
    String userId = payload.getSubject();
    System.out.println("User ID: " + userId);

    // Get profile information from payload
    String email = payload.getEmail();
    boolean emailVerified = Boolean.valueOf(payload.getEmailVerified());
    String name = (String) payload.get("name");
    String pictureUrl = (String) payload.get("picture");
    String locale = (String) payload.get("locale");
    String familyName = (String) payload.get("family_name");
    String givenName = (String) payload.get("given_name");

    // Use or store profile information
    // ...

  } else {
    System.out.println("Invalid ID token.");
  }

השיטה GoogleIdTokenVerifier.verify() מאמתת את החתימה של JWT, את ההצהרה aud, את ההצהרה iss ואת ההצהרה exp.

אם אתם צריכים לאמת שאסימון המזהה מייצג חשבון ארגוני ב-Google Workspace או ב-Cloud, תוכלו לאמת את ההצהרה hd על ידי בדיקת שם הדומיין שמוחזר על ידי השיטה Payload.getHostedDomain().