問題タブ [google-identity-toolkit]

次のページhttps://developers.google.com/identity/toolkit/android/quickstart#step_3_set_up_the_quick-start_appは私に指示します

identitytoolkit.api_key メタ データのコメントを解除し、プレースホルダーを API キーに置き換えます。API キーは、「 Androidアプリケーションのキー」というタイトルのパブリック API アクセス セクションにあります。

ページhttps://developers.google.com/identity/toolkit/android/は、同じ手順を教えてくれます

identitytoolkit.api_key メタ データのコメントを解除し、プレースホルダーを API キーに置き換えます。API キーは、「ブラウザーアプリケーションのキー」というタイトルのパブリック API アクセス セクションにあります。

両方を試しましたが、結果に違いはなく、サインインできませんでした。

私もさまざまな組み合わせを試しました

android:scheme 行のコメントを外し、プレースホルダーを反転したサーバー クライアント ID に置き換えます。この ID は、「Web アプリケーションのクライアント ID 」というタイトルの OAuth セクションにあります。たとえば、サーバー クライアント ID が 123.apps.googleusercontent.com の場合、ここに com.googleusercontent.apps.123 を入力します。

しかし、これはすべて少し配線されています。

この問題を解決するためにどの質問をするべきかさえわかりませんが、ドキュメントがある種の信頼できる「これがあなたがする必要があること」を示しているなら素晴らしいことです.

Google の誰かが、両方のサイトの「 AndroidManifest.xmlの変更」セクションを再確認し、どちらの情報が正しいか説明してもらえますか? なぜそんなに多くの Web アプリケーションを Android アプリに追加する必要があるのか​​、少し戸惑っています。

前もって感謝します。

更新:動作しましたが、コンソールに間違ったアプリ名が登録されていることが判明しました (パスが不完全でした)。また、どのキーを使用しても問題ないようです (私は「Androidアプリケーション用のキー」を使用しています)。

こんにちは、node.js アプリを構成しましたが、ほとんどの部分で問題なく動作しています。しかし、ログイン後の最後のステップで、次のエラーが表示されます: Invalid token: Unable to verify the ID Token: Invalid verify algorithm sha256 gtoken が設定されていることがわかります。しかし、アルゴリズムがどこから設定されているかについてのアイデアが不足しています。どこにも設定していないので、無効なアルゴリズムを渡すにはどうすればよいですか?

助言がありますか ？

Google API Explorer を使用して Google Identity Toolkit API を探索しようとしています。API は「認証は必要ありません」と示唆していますが、リクエストを実行しようとするとエラー メッセージが表示されます。

OAuth 2.0 トグルを使用して API を承認しようとすると、400 エラーが発生します。

ただし、Google Identity Toolkit API はスコープを宣言しません。

誰か助けてください。

更新: API Explorer の使用時に発生するその他のエラー: getAccountInfo 要求を実行しようとすると、localId フィールドが入力された要求本文を渡します。私が得る応答は次のとおりです。

「 google identity toolkit javascript 」をグーグルで検索しているときに、2 つのバージョンが利用可能であることに気付きました。

製品►Google ID プラットフォーム►ID ツールキット►ウェブサイト用 ID ツールキット

製品►Google ID プラットフォーム►Identity Toolkit►Identity Toolkit for Website v2

製品 ►Google ID プラットフォーム ►Identity Toolkitから開始した場合、v2 に言及せずにすべてが v1 を参照しているため、v2 に到達する方法はありません。

• では、v2 はどうしたのでしょうか。
• 新しいプロジェクトでは v2 を使用する必要がありますか?

さらに、Products►Google Identity Platform►Identity Toolkitから開始する場合、v1 ドキュメントの他の「バリアント」にアクセスする方法はありません。このリンクにあるものは、v2 (Getting Started ページ) と非常によく似た情報を提供しており、おそらく「Identity Toolkit for Websites」の実際のドキュメント。

また、v1 をほぼ同一の v2 ドキュメントと比較すると、「GITkit」という単語の使用が「Identity Toolkit」に置き換えられていることに気付くかもしれません。

v1:

Federated Login と Google Identity Toolkit の概要

Google Identity Toolkit (GITkit) により、依拠当事者はインターネット標準プロトコル、OpenID 2.0 および OAuth を使用して、ユーザーが Web サイトでアカウントを所有していることを確認できます。

v2:

Federated Login と [Google]* Identity Toolkit の概要

Google Identity Toolkit (Identity Toolkit) を使用すると、依拠当事者はインターネット標準プロトコル、OpenID 2.0 および OAuth を使用して、ユーザーが Web サイトでアカウントを所有していることを確認できます。

• タイトルには単語が含まれていますが、左側のメニュー エントリには含まれていないため、Google を角かっこで囲みました。

この転移の理由は何ですか？これは、ドキュメントのリファクタリング作業 (およびおそらくライブラリも) にすぎませんか、それとも基盤となるテクノロジが変更され、これら 2 つのバージョン間の非互換性が含まれていますか?

ロードマップ、バージョン間の変更、「Identity Toolkit」の現在の状態、および GITkit の段階的廃止について説明した、Google または GITkit 開発者の 1 人が発行した声明はどこかにありますか?

以下のサンプル コードは、古い V1 バージョンのみを対象としています。推奨される新しいソリューションはありますか? ありがとう。

idtoken は、バックエンド サーバーとのフォローアップ通信でそれ自体の (おそらくソルト化された) SHA2 ハッシュに置き換える以外にセキュリティを提供しないと仮定するのは正しいですか?

想定されるフローは次のようになります。

1. Android アプリは Google から idtoken を取得します
2. アプリは idtoken を自己ホスト型バックエンド サーバーに送信し、そこで gitkitclient.VerifyGitkitToken を使用してバックエンドによって検証されます。
3. バックエンドは、トークンの SHA2 ハッシュを有効期限と関連付けられたユーザー ID と共に作成し、将来の参照用にルックアップ テーブルに保存します。
4. Android アプリは、idtoken の同じ SHA2 ハッシュを作成し、その後の通信で idtoken を使用する代わりに、バックエンドとの今後の通信でヘッダーにそれを渡します。

これにより、システムのセキュリティが何らかの形で低下しますか?

https インスペクションを備えた透過プロキシ (およびデバイスに、つまり企業環境に合法的にインストールされた証明書) がトラフィックを盗聴する場合、idtoken またはその SHA2 ハッシュが取得されても、その透過プロキシはidtoken の存続期間全体にわたって、Android アプリに代わって (おそらくルージュな方法で) 行動できるでしょうか?

私の問題は、サーバーとのフォローアップ通信ごとに gitkitclient.VerifyGitkitToken を呼び出すのはコストがかかりすぎて、idtoken の有効性が確認されたら必要ないことです。

また、今後の参照のためにidtokenをサーバーに保存したくありません。代わりに、idtokenのハッシュを保持することを好みます。idtoken の SHA224 ハッシュは十分であり、衝突が発生しないと想定しても安全ですか?