Triển khai máy chủ OAuth 2.0

Mỗi Hành động smart home đều phải bao gồm một cơ chế cho xác thực người dùng.

Tính năng xác thực cho phép bạn liên kết Tài khoản Google bằng tài khoản người dùng trong hệ thống xác thực của bạn. Điều này cho phép bạn xác định người dùng của mình khi phương thức thực hiện của bạn nhận được một ý định nhà thông minh. Nhà thông minh của Google chỉ hỗ trợ OAuth bằng quy trình gửi mã uỷ quyền.

Trang này mô tả cách thiết lập máy chủ OAuth 2.0 để máy chủ này hoạt động với Hành động smart home của bạn.

Liên kết Tài khoản Google với OAuth

Trong quy trình mã uỷ quyền, bạn cần có 2 điểm cuối:

  • Điểm cuối uỷ quyền này sẽ hiển thị giao diện người dùng đăng nhập cho người dùng chưa đăng nhập. Điểm cuối uỷ quyền cũng tạo một mã uỷ quyền ngắn hạn để ghi lại sự đồng ý của người dùng đối với quyền truy cập được yêu cầu.

  • Điểm cuối trao đổi mã thông báo, chịu trách nhiệm cho 2 loại trao đổi:

    1. Trao đổi mã uỷ quyền lấy mã làm mới dài hạn và mã truy cập ngắn hạn. Quá trình trao đổi này xảy ra khi người dùng thực hiện quy trình liên kết tài khoản.
    2. Trao đổi mã làm mới dài hạn lấy mã truy cập ngắn hạn. Quá trình trao đổi này diễn ra khi Google cần một mã truy cập mới vì mã mà Google đã hết hạn.

Hướng dẫn thiết kế

Phần này mô tả các yêu cầu về thiết kế và đề xuất cho màn hình người dùng mà bạn lưu trữ cho quy trình liên kết OAuth. Sau khi được ứng dụng của Google gọi, nền tảng của bạn sẽ hiển thị màn hình đăng nhập vào trang Google và màn hình xin phép liên kết tài khoản cho người dùng. Người dùng sẽ được chuyển hướng trở lại ứng dụng của Google sau khi đồng ý liên kết tài khoản.

Hình này cho thấy các bước để người dùng liên kết Tài khoản Google của họ với hệ thống xác thực của bạn. Ảnh chụp màn hình đầu tiên cho thấy hoạt động liên kết do người dùng bắt đầu từ nền tảng của bạn. Hình ảnh thứ hai cho thấy trạng thái đăng nhập của người dùng vào Google, còn hình ảnh thứ ba cho thấy sự đồng ý và xác nhận của người dùng đối với việc liên kết Tài khoản Google của họ với ứng dụng của bạn. Ảnh chụp màn hình cuối cùng cho thấy một tài khoản người dùng đã liên kết thành công trong ứng dụng Google.
Hình 1. Người dùng liên kết tài khoản đăng nhập vào Google và màn hình đồng ý.

Yêu cầu

  1. Bạn phải thông báo rằng tài khoản của người dùng sẽ được liên kết với Google, không phải với một sản phẩm cụ thể của Google như Google Home hay Trợ lý Google.
  2. Bạn phải có tuyên bố uỷ quyền của Google, chẳng hạn như "Bằng việc đăng nhập, bạn đang uỷ quyền cho Google điều khiển thiết bị của mình". Xem phần Uỷ quyền kiểm soát thiết bị của Google trong Chính sách dành cho nhà phát triển Google Home.
  3. Bạn phải cung cấp cho người dùng cách để quay lại hoặc huỷ liên kết nếu họ chọn không liên kết.
  4. Bạn phải mở trang liên kết Web OAuth và đảm bảo rằng người dùng có phương thức rõ ràng để đăng nhập vào Tài khoản Google của họ, chẳng hạn như các trường để nhập tên người dùng và mật khẩu. Đừng sử dụng phương thức Đăng nhập bằng Google (GSI) cho phép người dùng liên kết mà không cần chuyển đến trang Liên kết OAuth trên web. Đây là hành vi vi phạm chính sách của Google.

Đề xuất

Bạn nên làm như sau:

  1. Trình bày Chính sách quyền riêng tư của Google. Thêm một đường liên kết đến Chính sách quyền riêng tư của Google trên màn hình xin phép.

  2. Dữ liệu được chia sẻ. Sử dụng ngôn ngữ rõ ràng và súc tích để cho người dùng biết Google yêu cầu dữ liệu nào và lý do tại sao.

  3. Xoá lời kêu gọi hành động. Hãy đưa ra lời kêu gọi hành động rõ ràng trên màn hình xin phép, chẳng hạn như “Đồng ý và liên kết”. Lý do là vì người dùng cần hiểu những dữ liệu mà họ cần phải chia sẻ với Google để liên kết tài khoản của họ.

  4. Khả năng hủy liên kết. Cung cấp cơ chế để người dùng huỷ liên kết, chẳng hạn như URL đến phần cài đặt tài khoản của họ trên nền tảng của bạn. Ngoài ra, bạn có thể bao gồm một đường liên kết đến Tài khoản Google nơi người dùng có thể quản lý tài khoản được liên kết của họ.

  5. Quyền thay đổi tài khoản người dùng. Đề xuất một phương thức để người dùng chuyển đổi(các) tài khoản của họ. Điều này đặc biệt có lợi nếu người dùng có xu hướng có nhiều tài khoản.

    • Nếu người dùng phải đóng màn hình xin phép để chuyển đổi tài khoản, hãy gửi lỗi có thể khôi phục cho Google để người dùng có thể đăng nhập vào tài khoản mong muốn bằng tính năng liên kết OAuth.
  6. Thêm biểu trưng của bạn. Hiển thị biểu trưng công ty của bạn trên màn hình đồng ý. Sử dụng nguyên tắc về kiểu cách để đặt biểu trưng. Nếu bạn muốn hiển thị cả biểu trưng của Google, hãy xem phần Biểu trưng và nhãn hiệu.

Quy trình sử dụng mã uỷ quyền

Quá trình triển khai máy chủ OAuth 2.0 của quy trình mã uỷ quyền bao gồm hai điểm cuối mà dịch vụ của bạn cung cấp qua HTTPS. Điểm cuối đầu tiên là điểm cuối uỷ quyền, chịu trách nhiệm tìm hoặc lấy sự đồng ý của người dùng về quyền truy cập dữ liệu. Điểm cuối uỷ quyền đưa ra giao diện người dùng đăng nhập cho những người dùng chưa đăng nhập và ghi lại sự đồng ý đối với quyền truy cập được yêu cầu. Điểm cuối thứ hai là điểm cuối trao đổi mã thông báo, được dùng để lấy các chuỗi đã mã hoá (được gọi là mã thông báo) cho phép người dùng truy cập vào dịch vụ của bạn.

Khi ứng dụng của Google cần gọi một trong các API của dịch vụ, Google sẽ sử dụng các điểm cuối này cùng nhau để yêu cầu người dùng cho phép gọi các API này thay mặt cho công ty.

Phiên quy trình mã uỷ quyền OAuth 2.0 do Google khởi tạo có quy trình sau:

  1. Google sẽ mở điểm cuối uỷ quyền của bạn trong trình duyệt của người dùng. Nếu luồng bắt đầu trên một thiết bị chỉ dùng giọng nói cho một Hành động, thì Google sẽ chuyển thực thi trên điện thoại.
  2. Người dùng này đăng nhập (nếu chưa đăng nhập) và cấp cho Google quyền truy cập vào dữ liệu của họ bằng API của bạn nếu họ chưa cấp quyền.
  3. Dịch vụ của bạn sẽ tạo một mã uỷ quyền rồi trả lại mã này cho Google. Việc cần làm do đó, hãy chuyển hướng trình duyệt của người dùng trở lại Google bằng mã uỷ quyền được đính kèm vào yêu cầu.
  4. Google sẽ gửi mã uỷ quyền đến điểm cuối trao đổi mã thông báo của bạn. Điểm cuối này xác minh tính xác thực của mã và trả về mã truy cập cũng như mã làm mới. Mã truy cập là một mã ngắn hạn mà dịch vụ của bạn chấp nhận làm thông tin đăng nhập để truy cập các API. Mã làm mới là mã tồn tại trong một thời gian dài mã thông báo mà Google có thể lưu trữ và sử dụng để thu nạp mã truy cập mới khi hết hạn.
  5. Sau khi người dùng hoàn tất quy trình liên kết tài khoản, mỗi yêu cầu do Google gửi có chứa mã truy cập.

Xử lý yêu cầu uỷ quyền

Khi bạn cần liên kết tài khoản bằng mã uỷ quyền OAuth 2.0 quy trình này, Google sẽ chuyển người dùng đến điểm cuối uỷ quyền của bạn kèm theo yêu cầu bao gồm các thông số sau:

Tham số điểm cuối ủy quyền
client_id Mã ứng dụng khách mà bạn đã chỉ định cho Google.
redirect_uri URL mà bạn gửi phản hồi tới yêu cầu này.
state Giá trị sổ sách được chuyển lại cho Google không thay đổi trong URI chuyển hướng.
scope Không bắt buộc: Một tập hợp chuỗi phạm vi được phân tách bằng dấu cách chỉ định dữ liệu mà Google đang yêu cầu uỷ quyền.
response_type Loại giá trị cần trả về trong phản hồi. Đối với OAuth 2.0 luồng mã uỷ quyền, loại phản hồi luôn là code.
user_locale Chế độ cài đặt ngôn ngữ trong Tài khoản Google trong RFC5646 định dạng này, được dùng để bản địa hoá nội dung của bạn sang ngôn ngữ ưu tiên của người dùng.

Ví dụ: nếu điểm cuối uỷ quyền của bạn có tại https://myservice.example.com/auth, một yêu cầu có thể có dạng như sau:

GET https://myservice.example.com/auth?client_id=GOOGLE_CLIENT_ID&redirect_uri=REDIRECT_URI&state=STATE_STRING&scope=REQUESTED_SCOPES&response_type=code&user_locale=LOCALE

Để điểm cuối uỷ quyền của bạn có thể xử lý các yêu cầu đăng nhập, hãy làm như sau các bước:

  1. Xác minh rằng client_id khớp với Mã ứng dụng khách mà bạn đã chỉ định cho Google, và redirect_uri khớp với URL chuyển hướng do Google cung cấp cho dịch vụ của bạn. Đây là những bước kiểm tra quan trọng để ngăn chặn việc cấp truy cập vào các ứng dụng khách ngoài ý muốn hoặc bị định cấu hình sai. Nếu bạn hỗ trợ nhiều Luồng OAuth 2.0, cũng xác nhận rằng response_typecode.
  2. Kiểm tra xem người dùng đã đăng nhập vào dịch vụ của bạn chưa. Nếu người dùng chưa đăng nhập, hoàn tất quy trình đăng nhập hoặc đăng ký dịch vụ của bạn.
  3. Tạo mã uỷ quyền cho Google dùng để truy cập vào API của bạn. Mã uỷ quyền có thể là bất kỳ giá trị chuỗi nào, nhưng phải là duy nhất đại diện cho người dùng, máy khách và thời gian hết hạn của mã và thông tin đó không phải ai cũng đoán được. Bạn thường cấp phép các mã sẽ hết hạn sau khoảng 10 phút.
  4. Xác nhận rằng URL do tham số redirect_uri chỉ định có biểu mẫu sau:
      https://oauth-redirect.googleusercontent.com/r/YOUR_PROJECT_ID
      https://oauth-redirect-sandbox.googleusercontent.com/r/YOUR_PROJECT_ID
      
  5. Chuyển hướng trình duyệt của người dùng tới URL được chỉ định Tham số redirect_uri. Bao gồm mã uỷ quyền mà bạn vừa được tạo và giá trị trạng thái ban đầu, chưa sửa đổi khi bạn chuyển hướng bằng cách thêm các tham số codestate. Sau đây là một ví dụ về URL kết quả:
    https://oauth-redirect.googleusercontent.com/r/YOUR_PROJECT_ID?code=AUTHORIZATION_CODE&state=STATE_STRING

Xử lý các yêu cầu trao đổi mã thông báo

Điểm cuối trao đổi mã thông báo của dịch vụ của bạn chịu trách nhiệm về 2 loại mã thông báo sàn giao dịch:

  • Trao đổi mã uỷ quyền để lấy mã truy cập và mã làm mới
  • Mã làm mới trao đổi cho mã truy cập

Yêu cầu trao đổi mã thông báo bao gồm các tham số sau:

Tham số điểm cuối trao đổi mã thông báo
client_id Một chuỗi xác định nguồn gốc của yêu cầu là Google. Chuỗi này phải được đăng ký trong hệ thống của bạn dưới dạng mã nhận dạng duy nhất của Google.
client_secret Chuỗi bí mật mà bạn đã đăng ký với Google cho dịch vụ của bạn.
grant_type Loại mã thông báo đang được trao đổi. Có một trong hai authorization_code hoặc refresh_token.
code Khi grant_type=authorization_code, tham số này sẽ là mã Google nhận được từ thông tin đăng nhập của bạn hoặc từ trao đổi mã thông báo điểm cuối.
redirect_uri Khi grant_type=authorization_code, tham số này sẽ là URL dùng trong yêu cầu uỷ quyền ban đầu.
refresh_token Khi grant_type=refresh_token, tham số này sẽ là mã làm mới mà Google nhận được từ điểm cuối trao đổi mã thông báo của bạn.

Trao đổi mã uỷ quyền để lấy mã truy cập và mã làm mới

Sau khi người dùng đăng nhập và điểm cuối uỷ quyền của bạn trả về một thông báo ngắn hạn mã uỷ quyền cho Google, Google sẽ gửi yêu cầu đến sàn giao dịch mã thông báo của bạn điểm cuối để trao đổi mã uỷ quyền lấy mã truy cập và làm mới mã thông báo.

Đối với các yêu cầu này, giá trị của grant_typeauthorization_code và giá trị code là giá trị của mã uỷ quyền mà bạn đã cấp trước đó cho Google. Sau đây là ví dụ về yêu cầu trao đổi mã uỷ quyền cho mã truy cập và mã làm mới:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET&grant_type=authorization_code&code=AUTHORIZATION_CODE&redirect_uri=REDIRECT_URI

Để đổi mã uỷ quyền lấy mã truy cập và mã làm mới, điểm cuối trao đổi mã thông báo phản hồi các yêu cầu POST bằng cách thực thi lệnh sau các bước:

  1. Xác minh rằng client_id xác định nguồn gốc của yêu cầu là nguồn đã được uỷ quyền điểm gốc và client_secret khớp với giá trị dự kiến.
  2. Xác minh rằng mã uỷ quyền là hợp lệ và chưa hết hạn, đồng thời client ID được chỉ định trong yêu cầu khớp với ID ứng dụng khách được liên kết với mã uỷ quyền.
  3. Xác nhận rằng URL mà tham số redirect_uri chỉ định là giống hệt nhau thành giá trị được sử dụng trong yêu cầu uỷ quyền ban đầu.
  4. Nếu bạn không thể xác minh tất cả các tiêu chí trên, hãy trả về một HTTP 400 Lỗi Yêu cầu không hợp lệ, trong đó {"error": "invalid_grant"} là phần nội dung.
  5. Nếu không, hãy sử dụng mã nhận dạng người dùng trong mã uỷ quyền để tạo quy trình làm mới và mã truy cập. Các mã thông báo này có thể là giá trị chuỗi bất kỳ, nhưng phải đại diện riêng cho người dùng và khách hàng mà mã thông báo dành cho họ, đồng thời không được dễ đoán. Đối với mã truy cập, hãy ghi lại cả thời gian hết hạn của mã thông báo. Thời gian này thường là một giờ sau khi bạn cấp mã thông báo. Mã làm mới không hết hạn.
  6. Trả về đối tượng JSON sau đây trong phần nội dung của phản hồi HTTPS:
    {
    "token_type": "Bearer",
    "access_token": "ACCESS_TOKEN",
    "refresh_token": "REFRESH_TOKEN",
    "expires_in": SECONDS_TO_EXPIRATION
    }
    

Google lưu trữ mã truy cập và mã làm mới cho người dùng và bản ghi mã truy cập đã hết hạn. Khi mã truy cập hết hạn, Google sẽ sử dụng mã làm mới để nhận mã truy cập mới từ điểm cuối trao đổi mã thông báo.

Mã làm mới trao đổi cho mã truy cập

Khi mã truy cập hết hạn, Google sẽ gửi yêu cầu đến sàn giao dịch mã thông báo của bạn để trao đổi mã làm mới lấy mã truy cập mới.

Đối với các yêu cầu này, giá trị của grant_typerefresh_token và giá trị refresh_token là giá trị của mã làm mới mà bạn đã cấp trước đó Google. Sau đây là ví dụ về yêu cầu trao đổi mã làm mới đối với mã truy cập:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET&grant_type=refresh_token&refresh_token=REFRESH_TOKEN

Để đổi mã làm mới lấy mã truy cập, điểm cuối trao đổi mã thông báo của bạn phản hồi các yêu cầu POST bằng cách thực thi các bước sau:

  1. Xác minh rằng client_id xác định nguồn gốc của yêu cầu là Google, và client_secret khớp với giá trị dự kiến.
  2. Xác minh rằng mã làm mới là hợp lệ và mã ứng dụng khách được chỉ định trong yêu cầu khớp với mã ứng dụng khách liên kết với mã làm mới.
  3. Nếu bạn không thể xác minh tất cả các tiêu chí trên, hãy trả về HTTP 400 Lỗi Yêu cầu không hợp lệ, trong đó phần nội dung là {"error": "invalid_grant"}.
  4. Nếu không, hãy sử dụng mã nhận dạng người dùng từ mã làm mới để tạo quyền truy cập mã thông báo. Các mã thông báo này có thể là bất kỳ giá trị chuỗi nào, nhưng phải là duy nhất đại diện cho người dùng và khách hàng mà mã thông báo dành cho họ, đồng thời không được có thể đoán được. Đối với mã truy cập, hãy ghi lại thời gian hết hạn của mã thông báo, thường là một giờ sau khi bạn phát hành mã thông báo.
  5. Trả về đối tượng JSON sau trong phần nội dung của HTTPS trả lời:
    {
    "token_type": "Người mang",
    "access_token": "ACCESS_TOKEN",
    "expiry_in" (hết hạn): SECONDS_TO_EXPIRATION
    }

Xử lý các yêu cầu thông tin người dùng

Điểm cuối userinfo là một tài nguyên được bảo vệ bằng OAuth 2.0. Tài nguyên này trả về các thông báo xác nhận quyền sở hữu về người dùng được liên kết. Việc triển khai và lưu trữ điểm cuối userinfo là không bắt buộc, ngoại trừ các trường hợp sử dụng sau:

Sau khi đã truy xuất thành công mã truy cập từ điểm cuối của mã thông báo, Google sẽ gửi yêu cầu đến điểm cuối userinfo của bạn để truy xuất thông tin hồ sơ cơ bản về người dùng được liên kết.

tiêu đề của yêu cầu điểm cuối userinfo
Authorization header Mã truy cập thuộc loại Bearer.

Ví dụ: nếu điểm cuối userinfo của bạn có sẵn tại https://myservice.example.com/userinfo, một yêu cầu có thể có dạng như sau:

GET /userinfo HTTP/1.1
Host: myservice.example.com
Authorization: Bearer ACCESS_TOKEN

Để điểm cuối userinfo xử lý các yêu cầu, hãy làm theo các bước sau:

  1. Trích xuất mã truy cập từ tiêu đề Uỷ quyền và trả về thông tin cho người dùng được liên kết với mã truy cập.
  2. Nếu mã truy cập không hợp lệ, hãy trả về lỗi HTTP 401 unauthorized (Không được phép sử dụng tiêu đề phản hồi WWW-Authenticate). Dưới đây là ví dụ về phản hồi khi xảy ra lỗi thông tin người dùng:
    HTTP/1.1 401 Unauthorized
    WWW-Authenticate: error="invalid_token",
    error_description="The Access Token expired"
    
    Nếu phản hồi 401 Trái phép hoặc bất kỳ lỗi không thành công nào khác được trả về trong quá trình liên kết, thì lỗi này sẽ không khôi phục được, mã thông báo đã truy xuất sẽ bị loại bỏ và người dùng sẽ phải bắt đầu lại quy trình liên kết.
  3. Nếu mã truy cập hợp lệ, hãy trả về và phản hồi HTTP 200 kèm theo đối tượng JSON sau trong phần nội dung của HTTPS phản hồi:

    {
    "sub": "USER_UUID",
    "email": "EMAIL_ADDRESS",
    "given_name": "FIRST_NAME",
    "family_name": "LAST_NAME",
    "name": "FULL_NAME",
    "picture": "PROFILE_PICTURE",
    }
    
    Nếu điểm cuối userinfo của bạn trả về phản hồi thành công HTTP 200, thì mã thông báo và các thông báo xác nhận quyền sở hữu đã truy xuất sẽ được đăng ký vào Tài khoản Google của người dùng.

    phản hồi của thiết bị đầu cuối userinfo
    sub Mã nhận dạng duy nhất giúp nhận dạng người dùng trong hệ thống của bạn.
    email Địa chỉ email của người dùng.
    given_name Không bắt buộc: Tên của người dùng.
    family_name Không bắt buộc: Họ của người dùng.
    name Không bắt buộc: Tên đầy đủ của người dùng.
    picture Không bắt buộc: Ảnh hồ sơ của người dùng.