Google でログインを使用すると、ユーザー認証を Android アプリに簡単に統合できます。ユーザーは Google アカウントを使用してアプリにログインし、同意を表明し、プロファイル情報をアプリと安全に共有できます。Android の認証情報マネージャー Jetpack ライブラリを使用すると、この統合をスムーズに行うことができ、単一の API を使用して Android デバイス間で一貫したエクスペリエンスを提供できます。
このドキュメントでは、Android アプリに「Google でログイン」を実装する方法、「Google でログイン」ボタンの UI を設定する方法、アプリ用に最適化されたワンタップによる登録とログイン エクスペリエンスを設定する方法について説明します。デバイスの移行をスムーズに行うため、「Google でログイン」は自動ログインをサポートしています。また、Android、iOS、ウェブ サーフェス全体でクロスプラットフォームであるため、どのデバイスでもアプリのログイン アクセスを提供できます。
[Google でログイン] を設定するには、次の 2 つの主な手順を行います。
認証情報マネージャーのボトムシート UI のオプションとして「Google でログイン」を構成する。ログインを求めるメッセージが自動的に表示されるように設定できます。パスキーまたはパスワードを実装している場合は、関連するすべての認証情報の種類を同時にリクエストできます。これにより、ユーザーは以前にログインに使用したオプションを覚えておく必要がなくなります。
[Google でログイン] ボタンをアプリの UI に追加します。[Google でログイン] ボタンを使用すると、ユーザーは既存の Google アカウントを使用して Android アプリへの登録やログインを効率的に行えます。ボトムシートの UI を閉じた場合、または登録とログインに Google アカウントを明示的に使用したい場合、ユーザーは [Google でログイン] ボタンをクリックします。デベロッパーにとって、これはユーザーのオンボーディングが容易になり、登録時の手間を軽減できることを意味します。
このドキュメントでは、Google ID ヘルパー ライブラリを使用して、「Google でログイン」ボタンとボトムシート ダイアログを認証情報マネージャー API と統合する方法について説明します。
Google API Console プロジェクトを設定する
- API Console でプロジェクトを開きます。プロジェクトをまだ作成していない場合は、作成します。
- OAuth 同意画面ページで、すべての情報が完全かつ正確であることを確認します。
- アプリに正しいアプリ名、アプリロゴ、アプリのホームページが割り当てられていることを確認します。これらの値は、登録時の [Google でログイン] の同意画面と [サードパーティ製のアプリとサービス] 画面でユーザーに表示されます。
- アプリのプライバシー ポリシーと利用規約の URL が指定されていることを確認してください。
- [認証情報] ページで、アプリの Android クライアント ID を作成します(まだ作成していない場合)。アプリのパッケージ名と SHA-1 署名を指定する必要があります。
- [認証情報] ページに移動します。
- [認証情報を作成] > [OAuth クライアント ID] をクリックします。
- アプリケーションの種類として [Android] を選択します。
- [認証情報] ページで、まだ作成していない場合は新しい「ウェブ アプリケーション」クライアント ID を作成します。現時点では、[承認済みの JavaScript 生成元] と [承認済みのリダイレクト URI] のフィールドは無視してかまいません。このクライアント ID は、Google の認証サービスと通信するときにバックエンド サーバーを識別するために使用されます。
- [認証情報] ページに移動します。
- [認証情報を作成] > [OAuth クライアント ID] をクリックします。
- ウェブ アプリケーションのタイプを選択します。
依存関係の宣言
モジュールの build.gradle ファイルで、認証情報マネージャーの最新バージョンを使用して依存関係を宣言します。
dependencies {
// ... other dependencies
implementation "androidx.credentials:credentials:<latest version>"
implementation "androidx.credentials:credentials-play-services-auth:<latest version>"
implementation "com.google.android.libraries.identity.googleid:googleid:<latest version>"
}
Google ログイン リクエストをインスタンス化する
実装を開始するには、Google ログイン リクエストをインスタンス化します。GetGoogleIdOption を使用して、ユーザーの Google ID トークンを取得します。
val googleIdOption: GetGoogleIdOption = GetGoogleIdOption.Builder()
.setFilterByAuthorizedAccounts(true)
.setServerClientId(WEB_CLIENT_ID)
.setAutoSelectEnabled(true)
.setNonce(<nonce string to use when generating a Google ID token>)
.build()
まず、setFilterByAuthorizedAccounts パラメータを true に設定して API を呼び出し、ユーザーがアプリへのログインに使用したことがあるアカウントがあるかどうかを確認します。ユーザーは、利用可能なアカウントから選択してログインできます。
承認済みの Google アカウントがない場合は、利用可能なアカウントで登録するよう求めるメッセージがユーザーに表示されます。これを行うには、API を再度呼び出して setFilterByAuthorizedAccounts を false に設定し、ユーザーにプロンプトを表示します。詳しくは、登録についての記事をご覧ください。
リピーター向けの自動ログインを有効にする(推奨)
デベロッパーは、単一のアカウントで登録するユーザーに対して自動ログインを有効にする必要があります。これにより、デバイス間でシームレスなエクスペリエンスが実現します。特にデバイスの移行中は、ユーザーは認証情報を再入力することなく、アカウントに迅速にアクセスできます。これにより、ユーザーは以前にログインしていた場合に不要な手間を省くことができます。
自動ログインを有効にするには、setAutoSelectEnabled(true) を使用します。自動ログインは、次の条件を満たす場合にのみ使用できます。
- リクエストに一致する認証情報が 1 つあります。これは Google アカウントまたはパスワードで、この認証情報は Android デバイスのデフォルト アカウントと一致します。
- ユーザーが明示的にログアウトしていない。
- ユーザーが Google アカウントの設定で自動ログインを無効にしていない。
val googleIdOption: GetGoogleIdOption = GetGoogleIdOption.Builder()
.setFilterByAuthorizedAccounts(true)
.setServerClientId(WEB_CLIENT_ID)
.setAutoSelectEnabled(true)
.setNonce(<nonce string to use when generating a Google ID token>)
.build()
自動ログインを実装する場合は、正しくログアウトを処理してください。これにより、ユーザーがアプリを明示的にログアウトした後も、常に適切なアカウントを選択できます。
ノンスを設定してセキュリティを強化する
ログイン セキュリティを向上させ、リプレイ攻撃を回避するには、setNonce を追加して各リクエストにノンスを含めます。詳しくは、ノンスの生成についてをご覧ください。
val googleIdOption: GetGoogleIdOption = GetGoogleIdOption.Builder()
.setFilterByAuthorizedAccounts(true)
.setServerClientId(WEB_CLIENT_ID)
.setAutoSelectEnabled(true)
.setNonce(<nonce string to use when generating a Google ID token>)
.build()
「Google でログイン」のフローを作成する
「Google でログイン」のフローを設定する手順は次のとおりです。
GetCredentialRequestをインスタンス化し、addCredentialOption()を使用して以前に作成したgoogleIdOptionを追加し、認証情報を取得します。- このリクエストを
getCredential()(Kotlin)またはgetCredentialAsync()(Java)の呼び出しに渡して、ユーザーの利用可能な認証情報を取得します。 - API が正常に実行されたら、
GoogleIdTokenCredentialデータの結果を保持するCustomCredentialを抽出します。 CustomCredentialの型はGoogleIdTokenCredential.TYPE_GOOGLE_ID_TOKEN_CREDENTIALの値と同じである必要があります。GoogleIdTokenCredential.createFromメソッドを使用して、オブジェクトをGoogleIdTokenCredentialに変換します。変換が成功したら、
GoogleIdTokenCredentialID を抽出して検証し、サーバー上の認証情報を認証します。GoogleIdTokenParsingExceptionでの変換ができない場合は、「Google でログイン」ライブラリのバージョンの更新が必要になることがあります。認識されないカスタム認証情報タイプを捕捉します。
val request: GetCredentialRequest = Builder()
.addCredentialOption(googleIdOption)
.build()
coroutineScope.launch {
try {
val result = credentialManager.getCredential(
request = request,
context = activityContext,
)
handleSignIn(result)
} catch (e: GetCredentialException) {
handleFailure(e)
}
}
fun handleSignIn(result: GetCredentialResponse) {
// Handle the successfully returned credential.
val credential = result.credential
when (credential) {
// Passkey credential
is PublicKeyCredential -> {
// Share responseJson such as a GetCredentialResponse on your server to
// validate and authenticate
responseJson = credential.authenticationResponseJson
}
// Password credential
is PasswordCredential -> {
// Send ID and password to your server to validate and authenticate.
val username = credential.id
val password = credential.password
}
// GoogleIdToken credential
is CustomCredential -> {
if (credential.type == GoogleIdTokenCredential.TYPE_GOOGLE_ID_TOKEN_CREDENTIAL) {
try {
// Use googleIdTokenCredential and extract the ID to validate and
// authenticate on your server.
val googleIdTokenCredential = GoogleIdTokenCredential
.createFrom(credential.data)
// You can use the members of googleIdTokenCredential directly for UX
// purposes, but don't use them to store or control access to user
// data. For that you first need to validate the token:
// pass googleIdTokenCredential.getIdToken() to the backend server.
GoogleIdTokenVerifier verifier = ... // see validation instructions
GoogleIdToken idToken = verifier.verify(idTokenString);
// To get a stable account identifier (e.g. for storing user data),
// use the subject ID:
idToken.getPayload().getSubject()
} catch (e: GoogleIdTokenParsingException) {
Log.e(TAG, "Received an invalid google id token response", e)
}
} else {
// Catch any unrecognized custom credential type here.
Log.e(TAG, "Unexpected type of credential")
}
}
else -> {
// Catch any unrecognized credential type here.
Log.e(TAG, "Unexpected type of credential")
}
}
}
[Google でログイン] ボタンのフローをトリガーする
[Google でログイン] ボタンのフローをトリガーするには、GetGoogleIdOption の代わりに GetSignInWithGoogleOption を使用します。
val signInWithGoogleOption: GetSignInWithGoogleOption = GetSignInWithGoogleOption.Builder()
.setServerClientId(WEB_CLIENT_ID)
.setNonce(<nonce string to use when generating a Google ID token>)
.build()
次のコード例に示すように、返された GoogleIdTokenCredential を処理します。
fun handleSignIn(result: GetCredentialResponse) {
// Handle the successfully returned credential.
val credential = result.credential
when (credential) {
is CustomCredential -> {
if (credential.type == GoogleIdTokenCredential.TYPE_GOOGLE_ID_TOKEN_CREDENTIAL) {
try {
// Use googleIdTokenCredential and extract id to validate and
// authenticate on your server.
val googleIdTokenCredential = GoogleIdTokenCredential
.createFrom(credential.data)
} catch (e: GoogleIdTokenParsingException) {
Log.e(TAG, "Received an invalid google id token response", e)
}
}
else -> {
// Catch any unrecognized credential type here.
Log.e(TAG, "Unexpected type of credential")
}
}
else -> {
// Catch any unrecognized credential type here.
Log.e(TAG, "Unexpected type of credential")
}
}
}
Google のログイン リクエストをインスタンス化したら、Google でログインのセクションで説明したのと同じ方法で認証フローを開始します。
新規ユーザーの登録を有効にする(推奨)
「Google でログイン」は、ユーザーがアプリやサービスで新しいアカウントを数回タップするだけで作成できる最も簡単な方法です。
保存されている認証情報が見つからない場合(getGoogleIdOption から Google アカウントが返されない場合)は、ユーザーに登録を求めます。まず、setFilterByAuthorizedAccounts(true) が存在し、以前に使用したアカウントが存在するかどうかを確認します。見つからない場合は、setFilterByAuthorizedAccounts(false) を使用して Google アカウントで登録するようユーザーに促します。
例:
val googleIdOption: GetGoogleIdOption = GetGoogleIdOption.Builder()
.setFilterByAuthorizedAccounts(false)
.setServerClientId(WEB_CLIENT_ID)
.build()
Google の登録リクエストをインスタンス化したら、認証フローを開始します。ユーザーが「Google でログイン」を使用して登録することを望まない場合は、自動入力用にアプリを最適化することを検討してください。ユーザーがアカウントを作成したら、アカウント作成の最後のステップとしてパスキーに登録することを検討してください。
ログアウトを処理する
ユーザーがアプリからログアウトしたら、API の clearCredentialState() メソッドを呼び出して、現在のユーザー認証情報の状態をすべての認証情報プロバイダからクリアします。これにより、特定のアプリ用に保存されている認証情報セッションをクリアする必要があることが、すべての認証情報プロバイダに通知されます。
認証情報プロバイダがアクティブな認証情報セッションを保存し、それを使用して今後の認証情報の取得呼び出しのログイン オプションを制限している場合があります。たとえば、使用可能な他の認証情報よりも、アクティブな認証情報に優先順位を付けることができます。ユーザーがアプリから明示的にログアウトした場合、次回包括的なログイン オプションを取得するには、この API を呼び出して、保存されている認証情報セッションをプロバイダが消去できるようにする必要があります。