問題タブ [google-identity]

アプリを使用するユーザーを認証するためにGoogle サインイン サービスを使用しています。メール情報をリクエストしたところ、機能しました

次に、バックエンドで認証できるようにするには、ID トークンも要求する必要があることがわかりました。

問題は、変更後にログインできないことです。ログインしようとするたびに得られるステータスは ですStatus{statusCode=unknown status code: 12501, resolution=null}。

私は周りを検索してきましたが、ほとんど同じことについてこの投稿を見つけました。 ただし、回答者が挙げた間違いはありません。開発コンソールのoAuthクライアントIDはWebアプリケーション用です R.string.server_client_id。写真の最初のクライアントIDです。もちろん、パッケージ名はすべて正しく配置されています。そうでない場合は、トークン リクエストがなければ機能しません。2 人も、これを機能させるにはアプリに署名する必要があると提案しましたが、Google のドキュメントによると、デバッグ キーも機能するはずであり、デバッグのためにアプリに署名させるのは意味がありません。

私はこれを何時間も理解しようとしてきましたが、成功していません。何が問題なのですか？ここに書き忘れたかもしれない詳細情報をお気軽にリクエストしてください。

ドキュメントによると、Google Apps ドメイン管理者は、ドメイン内のユーザーに代わってユーザー データにアクセスするドメイン全体の権限をサービス アカウントに付与できます。控えめに言っても、これにより、ドメイン内のすべてのユーザーのデータにアクセスする権限がサービス アカウントに与えられます。どのユーザー サービス アカウントがアクセスできるかを制限する方法はありますか?

たとえば、Google Calendar API を使用して、Google Apps ドメイン内の特定のユーザー リストのカレンダーからイベントを表示するアプリケーションです。

Google Apps 管理者は、すべてのユーザーではなく一部のユーザーへのアクセスをアプリケーションに許可できますか?

ありがとう

したがって、 https ://developers.google.com/identity/sign-in/web/backend-auth のガイドに従いました 。

API 用の JavaScript クライアントを使用してバックエンド認証を追加するには。ただし、コードを使用すると、次のコード行で:

idinfo = client.verify_id_token(token, CLIENT_ID)

サーバーでエラーが発生しました。エラーは次のとおりです。

Wrong recipient, <CLIENT_ID> != <SERVER_ID>

Javascript クライアントでサーバー ID を指定するにはどうすればよいですか?

この同じバックエンド コードで動作する iOS と Android のログインがあります。

iOSでも同じ問題があり、以下のコードを追加することで解決できました。ブラウザで同じことができますか？

[GIDSignIn sharedInstance].serverClientID = @"SERVER_CLIENT_ID";

新しいアプリに新しい Google ログインを実装しようとしています。

idToken を追加で要求して、公式の例を実装しました。

次に、volley post リクエストを介してトークンをサーバーに送信し、Google がここ(ページの下部) に投稿したPython の例を使用して検証します。

の検証を除いて、すべて正常に動作していidTokenます。次のエラーが常に発生します。

トークンの使用が遅すぎます。1452928807 > 1452897485:

その後に、ユーザーのアカウント情報が続きます。

サインアウトして再度サインインしても、トークンの有効期限が同じままであるため、トークンが更新されていないようです。

Google は、トークンを更新する方法や、有効期限が切れた場合の対処方法について言及していません。

この問題を解決する方法はありますか？

これを使用して認証を実装しており、現在、ユーザーがボタンをクリックしてサインインすると、React に読み込み中のアイコンが表示され、auth2 アカウントの選択/ログイン ウィンドウが表示されます。

ただし、ユーザーがウィンドウを閉じた場合、発生したイベントはないようです。つまり、promise を返す signIn() 関数は解決されません。ウィンドウが閉じている場合、Google はこの promise に対してエラーを返すと思っていました。その結果、ローダー アイコンの表示を停止して、ログイン メニューを再表示する方法がありません。

誰かがこれに対する解決策を持っているかどうか疑問に思っていましたか？

誰か助けてくれませんか...？アプリのログインに Google サインインを使用したいと考えています。サーバーの前でユーザーの適切な認証が必要なため、id_token の鮮度と単一使用を検証する必要があります。つまり、id_token は最近作成されたものであり、使用されていない必要があります。反対に、なりすましが発生する可能性があります...

OpenId Connect 標準によれば、サーバーによって設定され、ユーザーのクライアントに送信されるナンスまたはチャレンジがあり、これがリクエストに追加され、レスポンスとして id_token に含まれます。このナンスは、そのような検証に役立ちます。

Google サインイン/ID を使用して、トークンの 1 回限りの使用の鮮度を確認する方法はありますか?

事前に多くの感謝を！

Server-Side flowでログインするか、 を使用して追加のスコープの承認を求めるとauth2.grantOfflineAccess、結果のアクセス/更新トークンが以前の承認済みスコープと結合されず、以前のものを上書きします。

パラメータを js 呼び出しに渡しても、たとえばauth2.grantOfflineAccess({'include_granted_scopes' : 'true', ...})、パラメータinclude_granted_scopes=trueは生成された URL に追加されません。

&include_granted_scopes=trueポップアップ ウィンドウで生成された URL にパラメーターを手動で追加すると、プロトコルで説明されているように、増分結合認証が機能します。

サーバーサイド アプリの Google サインインと組み合わせて段階的に認証を行う方法はありますか?

乾杯

Google の Identity Toolkit に LinkedIn ログインを設定するオプションがない理由を知っている人はいますか?

LInkedIn を既存の Identity Toolkit に追加する必要がある場合、最善の方法は何ですか?

どんな指針も高く評価されます！

ありがとう、

独自の ID サーバーの ID プロバイダーとして Google を使用したいと考えています。私の問題は、Google グループ (実際には Google for Education グループ) を含む ID サーバー側で jwt アクセス トークンを生成したいことです。そのためには、承認リクエスト中に Google からグループを取得する必要があります。リンクをたどります

ユーザーグループを取得する最良の方法を教えてください。一般的には可能ですか？

ありがとうございました