如要在應用程式中驗證使用者,Google 提供下列方法: Google Cloud
| 驗證服務 | 目的 |
|---|---|
| Firebase 驗證 | 提供多種使用者驗證選項,包括透過 Google、Facebook 和 Twitter 進行驗證。這種方法可支援最多使用者,同時使用最少量的程式碼。 |
| Google 登入 | Google 登入可讓您登入 Gmail 和 Google Workspace 帳戶,並支援一次性密碼 (OTP)。如果只是要支援 Google 帳戶,或是在現有登入系統中支援 Google 帳戶,那麼這是最簡單的方法。 |
| OAuth 2.0 和 OpenID Connect | OpenID Connect 可讓您從頭開始處理及使用驗證代碼,且提供最多自訂空間。 |
| Google Cloud Identity Platform | Identity Platform 是客戶身分與存取權管理 (CIAM) 平台,可協助機構將身分與存取權管理功能導入應用程式。如果使用者想自行提供身分識別服務,這個選項就很適合。 |
| Users API | Users API 是用於驗證 Google 和 Google Workspace 帳戶的傳統套裝服務之一。這個內建 API 僅適用於 App Engine。 |
| Identity-Aware Proxy (IAP) | 透過 IAP,您可以在要求抵達應用程式資源之前,控管 App Engine 服務的存取權。IAP 可讓您為應用程式建立集中式授權層,並搭配簽署標頭或 App Engine Users API 來保護應用程式。與本表中的其他驗證服務不同,IAP 會在您可以存取應用程式之前執行驗證。本頁面上的其他選項,在應用程式中實作驗證。 |
Firebase 驗證
Firebase 驗證提供設計完善、安全無虞且能夠獨立運作的驗證系統,便於您讓使用者選擇想用的帳戶登入。Firebase 驗證除了支援 Google、Facebook、Twitter 和其他服務的聯合登入機制外,還支援密碼驗證,讓您在電腦和行動裝置上輕鬆擴充驗證系統。
如要為 Google App Engine 應用程式設定使用者驗證,Firebase 驗證是最簡單的方法。您可以參考下列資源,進一步瞭解 Firebase 驗證:
在 App Engine 上使用 Firebase 來驗證使用者說明如何在伺服器上擷取、驗證及儲存使用者憑證。
Firebase 網路教學課程著重在如何在網站上使用 Firebase,包括以 Google 做為識別資訊提供者進行使用者登入。
Firebase 快速入門導覽課程應用程式會透過聯合登入和使用者名稱/密碼登入等範例,說明如何跨平台整合 Firebase。這些示例說明如何透過 JavaScript SDK 使用 Firebase 驗證,以及在 iOS 和 Android 作業系統上使用 Firebase 驗證的方法。
Google 登入
如果您想在網站或應用程式中提供 Google 登入按鈕,或是您在網域中使用 Google 管理控制台,且想根據該登入資訊來驗證使用者,則可使用 Google 登入。Google 登入是我們使用 OAuth 2.0 和 OpenID Connect 通訊協定打造的登入用戶端程式庫。
Google 登入適用於網頁應用程式、iOS 和 Android。
OAuth 2.0 和 OpenID Connect
Google 登入是根據 Google 的 OAuth 2.0 實作方式所建構,符合 OpenID Connect 規格,且已通過 OpenID 認證。
OpenID Connect 是以 OAuth 2.0 通訊協定為基礎的識別層級,應用程式可用來擷取使用者個人資料資訊。
Identity Platform
Identity Platform 提供可自訂的置入式身分和驗證服務,能用於使用者的註冊及登入程序。Identity Platform 支援多種驗證方法 (SAML、OIDC、電子郵件/密碼、社交媒體、手機和其他自訂驗證方法),能夠為各種身分解決方案提供靈活的整合選項。Identity Platform 奠基於Google Cloud的全球規模、效能、網路和安全性,同時提供企業級支援服務與服務水準協議,能滿足幾乎所有應用程式或服務的需求。
Identity Platform 提供自己的使用者身分系統。如果您已為網域使用 Google Workspace,且想根據該登入資訊驗證使用者,應使用 Google 登入。
如要瞭解如何將 Identity Platform 與 App Engine 整合,請參閱在 App Engine 中登入使用者的操作說明指南。
Users API
Users API 可讓應用程式執行下列工作:
- 偵測目前的使用者是否已登入。
- 將使用者重新導向至適當的登入頁面以進行登入。
- 如果使用者沒有 Google 帳戶,則要求使用者建立新帳戶。
使用者登入應用程式後,應用程式便可存取該使用者的電子郵件地址,還可偵測目前的使用者是否為管理員,方便您實作應用程式的管理員專屬區域。
詳情請參閱 Users API 總覽頁面。
Identity-Aware Proxy (IAP)
IAP 會在資源前端為外部入站要求新增驗證和授權層,以保護應用程式並確保其安全。IAP 無法保護專案內的活動,例如同一個專案中的其他 App Engine 服務。未獲授權存取應用程式的使用者,將無法存取您的 App Engine 應用程式。
只有具備正確身分與存取權管理 (IAM) 角色的實體,才能存取受 IAP 保護的服務或應用程式。當使用者嘗試存取 IAP 保護的資源時,IAP 會為您執行驗證和授權檢查。如要瞭解 IAP 如何保護應用程式資源,請參閱 IAP 總覽。
您可以為整個應用程式啟用 IAP,也可以為特定服務或應用程式版本啟用 IAP。請參閱 IAP 快速入門,瞭解如何為 App Engine 資源設定 IAP。