Inicio de sesión de Google de Supabase - Configuración general

Introducción

Esta guía te guiará a través de la integración de Google Sign-In con Supabase Authentication utilizando el plugin de inicio de sesión social Capacitor. Esta configuración te permite utilizar el inicio de sesión nativo de Google en plataformas móviles mientras aprovechas la autenticación de Supabase para la autenticación de backend.

Requisitos previos

Antes de empezar, asegúrate de que tengas:

1. Creado un proyecto de Supabase

2. Lee el Configuración general de inicio de sesión de Google la guía para configurar las credenciales de OAuth de Google

3. Siguieron las guías específicas de la plataforma para configurar las credenciales de OAuth de Google para su plataforma objetivo:

   • Configuración de Android
   • Configuración de iOS
   • Configuración de Web

   Nota

   Antes de comenzar el tutorial de Supabase, debes generar los identificadores de cliente para las plataformas que planeas utilizar. Los utilizarás en el paso 7 de esta guía.

Habilitar el proveedor de inicio de sesión de Google en Supabase

1. Ir a tu Panel de Supabase

2. Haga clic en tu proyecto

   

3. Vaya al Authentication menú

   

4. Haga clic en el Providers pestaña

   

5. Encuentre el Google proveedor

   

6. Habilitar el proveedor

   

7. Agregar los identificadores de cliente para las plataformas que planeas utilizar

   

   Nota

   Incluye el identificador de cliente de la web, el identificador de cliente de iOS y el identificador de cliente de Android. Puedes saltarte proporcionar algunos de ellos, dependiendo de las plataformas que planeas utilizar.

8. Haga clic en el Save botón

   

Nota

Tú DEBES NO ESTABLECER configuración Client Secret (for OAuth) o Callback URL (for OAuth). Algunas fuentes también pueden sugerir configurar Skip nonce checks para Google en iOS, pero con esta guía esto no es necesario.

¡Listo! Ahora has habilitado el inicio de sesión con Google con autenticación de Supabase 🎉

Cómo funciona el Asistente de Inicio de Sesión con Google y Autenticación de Supabase

Esta sección explica cómo funciona la integración de inicio de sesión con Google con Supabase bajo la superficie. Comprender este flujo te ayudará a implementar y depurar el proceso de autenticación.

Implementación Completa

La implementación completa está disponible en el archivo del supabaseAuthUtils.ts archivo.

1. Generación de Nonce

La implementación genera un pair de nonce seguro siguiendo los requerimientos de nonce de Supabase:

// Generate URL-safe random nonce
function getUrlSafeNonce(): string {
  const array = new Uint8Array(32);
  crypto.getRandomValues(array);
  return Array.from(array, (byte) => byte.toString(16).padStart(2, '0')).join('');
}

// Hash the nonce with SHA-256
async function sha256Hash(message: string): Promise<string> {
  const encoder = new TextEncoder();
  const data = encoder.encode(message);
  const hashBuffer = await crypto.subtle.digest('SHA-256', data);
  const hashArray = Array.from(new Uint8Array(hashBuffer));
  return hashArray.map((b) => b.toString(16).padStart(2, '0')).join('');
}

// Generate nonce pair
async function getNonce(): Promise<{ rawNonce: string; nonceDigest: string }> {
  const rawNonce = getUrlSafeNonce();
  const nonceDigest = await sha256Hash(rawNonce);
  return { rawNonce, nonceDigest };
}

Flujo:

• rawNonceCadena alfanumérica segura para URL (64 caracteres hex)
• nonceDigestHash SHA-256 de rawNonce (codificado en hexadecimal)
• nonceDigest se pasa a Google Sign-In → Google incluye el nonce digest en el token de ID
• rawNonce se pasa a Supabase → Supabase hash la nonce bruta y compara con la nonce del token

2. Inicio de sesión con Google

La función inicia el plugin y se inicia sesión con Google:

await SocialLogin.initialize({
  google: {
    webClientId: 'YOUR_WEB_CLIENT_ID.apps.googleusercontent.com',
    // iOS only:
    iOSClientId: 'YOUR_IOS_CLIENT_ID.apps.googleusercontent.com',
    mode: 'online', // Required to get idToken
  },
});

const response = await SocialLogin.login({
  provider: 'google',
  options: {
    scopes: ['email', 'profile'],
    nonce: nonceDigest, // Pass the SHA-256 hashed nonce
  },
});

3. Validación de JWT

Antes de enviar el token a Supabase, la implementación valida el token JWT:

function validateJWTToken(idToken: string, expectedNonceDigest: string): { valid: boolean; error?: string } {
  const decodedToken = decodeJWT(idToken);

  // Check audience matches your Google Client IDs
  const audience = decodedToken.aud;
  if (!VALID_GOOGLE_CLIENT_IDS.includes(audience)) {
    return { valid: false, error: 'Invalid audience' };
  }

  // Check nonce matches
  const tokenNonce = decodedToken.nonce;
  if (tokenNonce && tokenNonce !== expectedNonceDigest) {
    return { valid: false, error: 'Nonce mismatch' };
  }

  return { valid: true };
}

¿Por qué validar antes de Supabase?

Validando el token JWT antes de enviar el token a Supabase tiene varios propósitos importantes:

1. Prevenir Solicitudes Inválidas: Si el token tiene una audiencia o nonce incorrectos, Supabase rechazará el token de todos modos. Validar primero evita llamadas innecesarias API y proporciona mensajes de error más claros.

2. Problemas de Caché de Tokens: En algunas plataformas (especialmente iOS), Google Sign-In SDK puede cachear tokens para mejorar el rendimiento. Cuando se devuelve un token caché, el token caché puede haber sido generado con un nonce diferente (o sin nonce en absoluto), lo que causa que Supabase rechace el token con un error de 'nonce no coincidente'. Al validar antes de enviar a Supabase, podemos detectar este problema temprano y reintentar automáticamente con un token fresco.

3. Seguridad (iOS): En iOS, la validación asegura que el token se emitió para sus identificadores de cliente de Google específicos, evitando posibles problemas de seguridad al utilizar tokens destinados a otras aplicaciones.

4. Mejor Manejo de Errores: Detectar problemas antes de que Supabase permite la lógica de reintentos automáticos, lo cual es esencial para manejar los problemas de caché de iOS de manera transparente.

Si la validación falla, la función realiza automáticamente:

1. Desconecta de Google (elimina tokens caché - crítico en iOS)
2. Reintentar la autenticación una vez (obliga la generación de un token fresco con nonce correcto)
3. Si también falla la repetición, devuelve un error

4. Inicio de sesión de Supabase

Finalmente, el token validado se envía a Supabase:

const { data, error } = await supabase.auth.signInWithIdToken({
  provider: 'google',
  token: googleResponse.idToken,
  nonce: rawNonce, // Pass the raw (unhashed) nonce
});

Referencia completa de Code

La implementación completa está disponible en el archivo del ejemplo de aplicación supabaseAuthUtils.ts que incluye:

• getUrlSafeNonce() - Genera un valor aleatorio seguro para URL
• sha256Hash() - Hash con SHA-256 una cadena de texto
• getNonce() - Genera pareja de nonce
• decodeJWT() - Descompone token JWT
• validateJWTToken() - Valida audiencia y nonce de JWT
• authenticateWithGoogleSupabase() - Función de autenticación principal con reintentos automáticos

Archivos de ejemplo adicionales

• SupabasePage.tsx - Componente de ejemplo con manejo de redirección (Web)
• SupabaseCreateAccountPage.tsx - Página de registro de cuenta de ejemplo

Pasos siguientes

Por favor, proceda al guía de configuración específica de la plataforma para tu plataforma objetivo:

• Configuración de Android
• Configuración de iOS
• Configuración de Web