Xác thực người dùng

Các giao thức xác thực web sử dụng các tính năng HTTP, nhưng Ứng dụng Chrome chạy bên trong vùng chứa ứng dụng; các ứng dụng này không tải qua HTTP và không thể thực hiện lệnh chuyển hướng hoặc đặt cookie.

Sử dụng Chrome Identity API để xác thực người dùng: getAuthToken cho người dùng đã đăng nhập vào Tài khoản Google và launchWebAuthFlow cho người dùng đã đăng nhập vào một tài khoản không phải của Google. Nếu ứng dụng của bạn sử dụng máy chủ riêng để xác thực người dùng, thì bạn cần sử dụng phương thức xác thực phía máy chủ.

Cách hoạt động

Người dùng Ứng dụng Chrome có một Tài khoản Google được liên kết với hồ sơ của họ. Ứng dụng có thể nhận mã thông báo OAuth2 cho những người dùng này bằng cách sử dụng API getAuthToken.

Các ứng dụng muốn xác thực với các nhà cung cấp danh tính không phải của Google phải gọi launchWebAuthFlow. Phương thức này sử dụng một cửa sổ bật lên của trình duyệt để hiển thị các trang của nhà cung cấp và ghi lại các lệnh chuyển hướng đến các mẫu URL cụ thể. URL chuyển hướng được truyền đến ứng dụng và ứng dụng sẽ trích xuất mã thông báo từ URL.

Xác thực tài khoản Google

Dưới đây là 5 bước bạn cần hoàn tất:

  1. Thêm quyền vào tệp kê khai và tải ứng dụng lên.
  2. Sao chép khoá trong manifest.json đã cài đặt vào tệp kê khai nguồn để mã ứng dụng không đổi trong quá trình phát triển.
  3. Nhận mã ứng dụng khách OAuth2 cho ứng dụng Chrome.
  4. Cập nhật tệp kê khai của bạn để bao gồm mã ứng dụng khách và phạm vi.
  5. Nhận mã thông báo xác thực.

Thêm quyền và tải ứng dụng lên

Bạn cần đảm bảo quyền nhận dạng có trong tệp kê khai. Sau đó, bạn có thể tải ứng dụng lên trang quản lý ứng dụng và tiện ích (xem phần Xuất bản).

"permissions": [
  "identity"
]

Sao chép khoá vào tệp kê khai

Khi đăng ký ứng dụng trong bảng điều khiển OAuth của Google, bạn sẽ cung cấp mã nhận dạng của ứng dụng. Mã này sẽ được kiểm tra trong các yêu cầu mã thông báo. Do đó, điều quan trọng là phải có mã ứng dụng nhất quán trong quá trình phát triển.

Để mã ứng dụng của bạn không thay đổi, bạn cần sao chép khoá trong manifest.json đã cài đặt vào tệp kê khai nguồn. Đây không phải là nhiệm vụ dễ dàng nhất, nhưng sau đây là cách thực hiện:

  1. Chuyển đến thư mục dữ liệu người dùng. Ví dụ trên MacOs: ~/Library/Application\ Support/Google/Chrome/Default/Extensions
  2. Liệt kê các ứng dụng và tiện ích đã cài đặt, đồng thời so khớp mã ứng dụng của bạn trên trang quản lý ứng dụng và tiện ích với cùng một mã ở đây.
  3. Chuyển tới thư mục ứng dụng đã cài đặt (phiên bản này sẽ nằm trong mã ứng dụng). Mở manifest.json đã cài đặt (pico là một cách nhanh chóng để mở tệp).
  4. Sao chép "khoá" trong manifest.json đã cài đặt rồi dán vào tệp kê khai nguồn của ứng dụng.

Lấy mã ứng dụng khách OAuth2

Bạn cần đăng ký ứng dụng của mình trong Bảng điều khiển API của Google để lấy mã ứng dụng:

  1. Đăng nhập vào Bảng điều khiển API của Google bằng chính Tài khoản Google đã dùng để tải ứng dụng của bạn lên Cửa hàng Chrome trực tuyến.
  2. Tạo một dự án mới bằng cách mở rộng trình đơn thả xuống ở góc trên cùng bên trái rồi chọn mục trình đơn Create... (Tạo…).
  3. Sau khi tạo và đặt tên, hãy chuyển đến mục trình đơn điều hướng "Dịch vụ" rồi bật mọi dịch vụ của Google mà ứng dụng của bạn cần.
  4. Chuyển đến mục "Quyền truy cập API" trong trình đơn điều hướng rồi nhấp vào nút màu xanh dương Tạo mã ứng dụng khách OAuth 2.0....
  5. Nhập thông tin thương hiệu được yêu cầu, chọn loại Ứng dụng đã cài đặt.
  6. Chọn Ứng dụng Chrome rồi nhập mã ứng dụng (cùng mã xuất hiện trong trang quản lý ứng dụng và tiện ích).

Cập nhật tệp kê khai bằng phạm vi và mã ứng dụng OAuth2

Bạn cần cập nhật tệp kê khai để thêm mã ứng dụng khách và phạm vi. Dưới đây là mẫu "oauth2" cho mẫu gdrive:

"oauth2": {
    "client_id": "665859454684.apps.googleusercontent.com",
    "scopes": [
      "https://www.googleapis.com/auth/drive"
    ]
  }

Nhận mã truy cập

Giờ bạn đã sẵn sàng nhận mã xác thực bằng cách gọi identity.getAuthToken.

chrome.identity.getAuthToken({ 'interactive': true }, function(token) {
  // Use the token.
});

Hoạt động tương tác của người dùng

Khi gọi getAuthToken, bạn có thể truyền một cờ ('interactive': true trong ví dụ ở trên) cho biết liệu bạn có muốn gọi API ở chế độ tương tác hay chế độ im lặng hay không. Nếu bạn gọi API ở chế độ tương tác, thì người dùng sẽ thấy giao diện người dùng đăng nhập và/hoặc phê duyệt khi cần, như trong ảnh chụp màn hình dưới đây:

ảnh chụp màn hình cho thấy giao diện người dùng khi một ứng dụng sử dụng API Nhận dạng để xác thực tài khoản Google

Nếu bạn gọi API ở chế độ im lặng, API sẽ chỉ trả về mã thông báo nếu có thể tạo mã thông báo mà không hiển thị giao diện người dùng nào. Điều này hữu ích trong trường hợp ứng dụng đang thực hiện luồng khi khởi động ứng dụng, hoặc nói chung trong trường hợp không có thao tác nào của người dùng.

Phương pháp hay nhất mà chúng tôi đề xuất là sử dụng chế độ im lặng khi không có cử chỉ nào của người dùng và sử dụng chế độ tương tác nếu có cử chỉ của người dùng (ví dụ: người dùng nhấp vào nút Đăng nhập trong ứng dụng của bạn). Xin lưu ý rằng chúng tôi không thực thi bất kỳ yêu cầu nào về cử chỉ.

Lưu vào bộ nhớ đệm

Chrome có bộ nhớ đệm trong bộ nhớ của mã thông báo truy cập, vì vậy, bạn có thể gọi getAuthToken bất cứ khi nào cần sử dụng mã thông báo. Bộ nhớ đệm sẽ tự động xử lý việc hết hạn mã thông báo.

Bạn có thể xem trạng thái hiện tại của bộ nhớ đệm mã thông báo trên chrome://identity-internals.

Trong một số trường hợp, chẳng hạn như khi người dùng thay đổi mật khẩu, mã truy cập chưa hết hạn sẽ ngừng hoạt động. Các lệnh gọi API sử dụng mã thông báo này sẽ bắt đầu trả về với mã trạng thái HTTP 401. Nếu phát hiện điều này, bạn có thể xoá mã thông báo không hợp lệ khỏi bộ nhớ đệm của Chrome bằng cách gọi identity.removeCachedAuthToken.

Ví dụ về cách sử dụng removeCachedAuthToken:

// callback = function (error, httpStatus, responseText);
function authenticatedXhr(method, url, callback) {
  var retry = true;
  function getTokenAndXhr() {
    chrome.identity.getAuthToken({/* details */},
                                 function (access_token) {
      if (chrome.runtime.lastError) {
        callback(chrome.runtime.lastError);
        return;
      }

      var xhr = new XMLHttpRequest();
      xhr.open(method, url);
      xhr.setRequestHeader('Authorization',
                           'Bearer ' + access_token);

      xhr.onload = function () {
        if (this.status === 401 && retry) {
          // This status may indicate that the cached
          // access token was invalid. Retry once with
          // a fresh token.
          retry = false;
          chrome.identity.removeCachedAuthToken(
              { 'token': access_token },
              getTokenAndXhr);
          return;
        }

        callback(null, this.status, this.responseText);
      }
    });
  }
}

Xác thực tài khoản không phải Tài khoản Google

Sau đây là 3 bước bạn cần phải hoàn tất:

  1. Đăng ký với nhà cung cấp.
  2. Thêm quyền cho các tài nguyên của nhà cung cấp mà ứng dụng của bạn sẽ truy cập.
  3. Lấy mã thông báo xác thực.

Đăng ký với nhà cung cấp

Bạn cần đăng ký mã ứng dụng khách OAuth2 với nhà cung cấp và định cấu hình mã ứng dụng khách dưới dạng trang web. Để nhập URI chuyển hướng trong quá trình đăng ký, hãy sử dụng URL ở dạng: https://<extension-id>.chromiumapp.org/<anything-here>

Ví dụ: nếu mã ứng dụng của bạn là abcdefghijklmnopqrstuvwxyzabcdef và bạn muốn provider_cb là đường dẫn, để phân biệt đường dẫn này với URI chuyển hướng từ các nhà cung cấp khác, bạn nên sử dụng: https://abcdefghijklmnopqrstuvwxyzabcdef.chromiumapp.org/provider_cb

Thêm quyền cho nhà cung cấp

Để tạo các XHR trên nhiều nguồn gốc đến các điểm cuối API của nhà cung cấp, bạn cần đưa các mẫu thích hợp vào danh sách cho phép trong các quyền:

"permissions": [
  ...
  "https://www.website-of-provider-with-user-photos.com/photos/*"
]

Lấy mã thông báo

Cách lấy mã thông báo:

chrome.identity.launchWebAuthFlow(
  {'url': '<url-to-do-auth>', 'interactive': true},
  function(redirect_url) { /* Extract token from redirect_url */ });

<url-to-do-auth> là bất kỳ URL nào để xác thực cho nhà cung cấp từ một trang web. Ví dụ: giả sử bạn đang thực hiện quy trình OAuth2 với một nhà cung cấp và đã đăng ký ứng dụng của mình với client id 123456789012345 và bạn muốn truy cập vào ảnh của người dùng trên trang web của nhà cung cấp: https://www.website-of-provider-with-user-photos.com/dialog/oauth?client_id=123456789012345& redirect_uri=https://abcdefghijklmnopqrstuvwxyzabcdef.chromiumapp.org/provider_cb&response_type=token&scope=user_photos

Nhà cung cấp sẽ thực hiện xác thực và nếu thích hợp, sẽ hiển thị giao diện người dùng đăng nhập và/hoặc phê duyệt cho người dùng. Sau đó, URL này sẽ chuyển hướng đến https://abcdefghijklmnopqrstuvwxyzabcdef.chromiumapp.org/provider_cb#authToken=<auth-token>

Chrome sẽ ghi lại URL đó và gọi lệnh gọi lại của ứng dụng bằng URL chuyển hướng đầy đủ. Ứng dụng sẽ trích xuất mã thông báo ra khỏi URL.

Chế độ tương tác so với chế độ im lặng

Khi gọi launchWebAuthFlow, bạn có thể truyền một cờ ('interactive': true trong ví dụ ở trên) cho biết liệu bạn có muốn gọi API ở chế độ tương tác hay không (còn gọi là chế độ im lặng). Nếu gọi API ở chế độ tương tác, người dùng sẽ thấy giao diện người dùng (nếu cần) để nhận mã thông báo (đăng nhập vào giao diện người dùng và/hoặc giao diện người dùng phê duyệt; hoặc bất kỳ giao diện người dùng dành riêng cho nhà cung cấp nào).

Nếu bạn gọi API ở chế độ im lặng, API sẽ chỉ trả về mã thông báo nếu nhà cung cấp có thể cung cấp mã thông báo mà không hiển thị giao diện người dùng nào. Điều này rất hữu ích, chẳng hạn như trong trường hợp một ứng dụng đang thực hiện luồng khi khởi động ứng dụng, hoặc nói chung trong các trường hợp không liên quan đến cử chỉ nào của người dùng.

Phương pháp hay nhất mà chúng tôi đề xuất là sử dụng chế độ im lặng khi không có cử chỉ nào của người dùng và sử dụng chế độ tương tác nếu có cử chỉ của người dùng (ví dụ: người dùng nhấp vào nút Đăng nhập trong ứng dụng của bạn). Xin lưu ý rằng chúng tôi không thực thi yêu cầu về cử chỉ.