Как определить пользователя Google OAuth2?
Я использовал логин Facebook для идентификации пользователей. Когда приходит новый пользователь, я сохраняю его userID в своей базе данных. В следующий раз, когда они придут, я узнаю их идентификатор в Facebook и знаю, кто он в моей базе данных.
Теперь я пытаюсь сделать то же самое с OAuth2 от Google, но как я могу узнать пользователей?
Google отправляет мне несколько кодов и токенов (access_token, id_token, refresh_token), однако ни один из них не является постоянным. Это означает, что если я выйду из системы и вернусь через 2 минуты, все 3 значения изменились. Как я могу однозначно идентифицировать пользователя?
Я использую их клиентскую библиотеку PHP: https://code.google.com/p/google-api-php-client/
6 ответов
Я вставил этот метод в google-api-php-client/src/apiClient.php:
public function getUserInfo()
{
$req = new apiHttpRequest('https://www.googleapis.com/oauth2/v1/userinfo');
// XXX error handling missing, this is just a rough draft
$req = $this->auth->sign($req);
$resp = $this->io->makeRequest($req)->getResponseBody();
return json_decode($resp, 1);
}
Теперь я могу позвонить:
$client->setAccessToken($_SESSION[ 'token' ]);
$userinfo = $client->getUserInfo();
Он возвращает массив, подобный этому (плюс электронное письмо, если эта область была запрошена):
Array
(
[id] => 1045636599999999999
[name] => Tim Strehle
[given_name] => Tim
[family_name] => Strehle
[locale] => de
)
Решение возникло из этой темы: https://groups.google.com/forum/#!msg/google-api-php-client/o1BRsQ9NvUQ/xa532MxegFIJ.
Как уже упоминали другие, вы можете отправить GET на https://www.googleapis.com/oauth2/v3/userinfo, используя только что полученный токен носителя OAuth2, и вы получите ответ с некоторой информацией о пользователе (id, имя и т. д.).
Стоит также упомянуть, что Google реализует OpenID Connect и что эта конечная точка информации пользователя является лишь одной из его частей.
OpenID Connect - это уровень аутентификации поверх OAuth2. При обмене авторизацией code в конечной точке токена Google вы получаете токен доступа (access_token параметр), а также токен OpenID Connect ID (id_token параметр).
Оба эти токена являются JWT (веб- токен JSON, http://tools.ietf.org/html/draft-ietf-oauth-json-web-token).
Если вы расшифруете их, вы получите некоторые утверждения, в том числе идентификатор пользователя. Если вы свяжете этот идентификатор с пользователем в вашей БД, вы можете немедленно идентифицировать его без необходимости делать дополнительную GET-информацию о пользователе (экономит время).
Как упоминалось в комментариях, эти токены подписаны закрытым ключом Google, и вы можете проверить подпись с помощью открытого ключа Google ( https://www.googleapis.com/oauth2/v3/certs), чтобы убедиться в их подлинности.
Вы можете увидеть, что находится в JWT, вставив его по адресу https://jwt.io/ (прокрутите вниз для отладчика JWT). Утверждения выглядят примерно так:
{
"iss":"accounts.google.com",
"id":"1625346125341653",
"cid":"8932346534566-hoaf42fgdfgie1lm5nnl5675g7f167ovk8.apps.googleusercontent.com",
"aud":"8932346534566-hoaf42fgdfgie1lm5nnl5675g7f167ovk8.apps.googleusercontent.com",
"token_hash":"WQfLjdG1mDJHgJutmkjhKDCdA",
"iat":1567923785,
"exp":1350926995
}
Существуют также библиотеки для различных языков программирования для программного декодирования JWT.
PS: чтобы получить актуальный список URL-адресов и функций, поддерживаемых поставщиком OpenID Connect от Google, вы можете проверить этот URL-адрес: https://accounts.google.com/.well-known/openid-configuration.
Следует отметить, что API OpenID Connect не возвращает id атрибут больше.
Теперь sub атрибут, который служит уникальной идентификацией пользователя.
Посмотрите Google Dev OpenID Connect UserInfo
"Кто это?" по сути, услуга; Вы должны запросить доступ к нему в качестве области, а затем сделать запрос к серверу ресурсов профиля Google, чтобы получить удостоверение личности. См. OAuth 2.0 для входа в систему.
Хотя JWT могут быть проверены локально с помощью открытого ключа (клиентская библиотека Google API загружает и кэширует их открытые ключи автоматически), необходима проверка токена на стороне Google через https://www.googleapis.com/oauth2/v1/tokeninfo конечную точку проверить, был ли отозван доступ к приложению с момента создания токена.