Configuración general de Supabase Google Login

Copia un prompt de configuración con los pasos de instalación y la guía de markdown completa para este plugin.

Introducción

Esta guía te guiará a través de la integración de Google Sign-In con Supabase Authentication utilizando el plugin de inicio de sesión social Capacitor. Esta configuración te permite utilizar el inicio de sesión nativo de Google en plataformas móviles mientras aprovechas la autenticación de Supabase para la autenticación de backend.

Requisitos previos

Antes de empezar, asegúrate de tener:

Crear un proyecto de Supabase
Leído el Configuración general de inicio de sesión de Google guía para configurar las credenciales de OAuth de Google
Siguiste las guías específicas de la plataforma para configurar las credenciales de OAuth de Google para tu plataforma objetivo:
Antes de comenzar el tutorial de Supabase, debes generar los identificadores de cliente para las plataformas que planeas utilizar. Los utilizarás en el paso 7 de esta guía.

Habilitar proveedor de autenticación de Google en Supabase

Ir a tu Panel de control de Supabase
Hacer clic en tu proyecto
No vaya al Authentication menú
Haga clic en la Providers pestaña
Encuentre el Google proveedor
Active el proveedor
Agregue las IDs de cliente para las plataformas que planea utilizar

Este incluyó el ID de cliente de la aplicación web, el ID de cliente de iOS y el ID de cliente de Android. Puede omitir proporcionar algunos de ellos, dependiendo de las plataformas que planea utilizar.
Haga clic en el Save botón

¡Eso es todo! Ahora has habilitado Google Sign-In con Supabase Authentication 🎉

Esta sección explica cómo funciona la integración de Google Sign-In con Supabase bajo la cubierta. Comprender este flujo te ayudará a implementar y depurar el proceso de autenticación.

1. Generación de nonce

La implementación genera un pair de nonce seguro según los requisitos de Supabase Requisitos de nonce de Supabase:

// Generate URL-safe random nonce
function getUrlSafeNonce(): string {
  const array = new Uint8Array(32);
  crypto.getRandomValues(array);
  return Array.from(array, (byte) => byte.toString(16).padStart(2, '0')).join('');
}

// Hash the nonce with SHA-256
async function sha256Hash(message: string): Promise<string> {
  const encoder = new TextEncoder();
  const data = encoder.encode(message);
  const hashBuffer = await crypto.subtle.digest('SHA-256', data);
  const hashArray = Array.from(new Uint8Array(hashBuffer));
  return hashArray.map((b) => b.toString(16).padStart(2, '0')).join('');
}

// Generate nonce pair
async function getNonce(): Promise<{ rawNonce: string; nonceDigest: string }> {
  const rawNonce = getUrlSafeNonce();
  const nonceDigest = await sha256Hash(rawNonce);
  return { rawNonce, nonceDigest };
}

Flujo:

rawNonce: Cadena aleatoria segura para URL (64 caracteres hex)
nonceDigest: Hash SHA-256 de rawNonce (codificado en hexadecimal)
nonceDigest Se pasa a Google Sign-In → Google incluye el nonce digest en el token de ID
rawNonce Se pasa a Supabase → Supabase hash la nonce bruta y compara con el nonce del token

La función inicia el plugin y se inicia con Google:

await SocialLogin.initialize({
  google: {
    webClientId: 'YOUR_WEB_CLIENT_ID.apps.googleusercontent.com',
    // iOS only:
    iOSClientId: 'YOUR_IOS_CLIENT_ID.apps.googleusercontent.com',
    mode: 'online', // Required to get idToken
  },
});

const response = await SocialLogin.login({
  provider: 'google',
  options: {
    scopes: ['email', 'profile'],
    nonce: nonceDigest, // Pass the SHA-256 hashed nonce
  },
});

3. Validación de JWT

Antes de enviar el token a Supabase, la implementación valida el token JWT:

function validateJWTToken(idToken: string, expectedNonceDigest: string): { valid: boolean; error?: string } {
  const decodedToken = decodeJWT(idToken);

  // Check audience matches your Google Client IDs
  const audience = decodedToken.aud;
  if (!VALID_GOOGLE_CLIENT_IDS.includes(audience)) {
    return { valid: false, error: 'Invalid audience' };
  }

  // Check nonce matches
  const tokenNonce = decodedToken.nonce;
  if (tokenNonce && tokenNonce !== expectedNonceDigest) {
    return { valid: false, error: 'Nonce mismatch' };
  }

  return { valid: true };
}

¿Por qué validar antes de Supabase?

Validar el token JWT antes de enviar el token a Supabase cumple varios propósitos importantes:

Prevenir solicitudes inválidas: Si el token tiene una audiencia o nonce incorrectos, Supabase rechazará el token de todos modos. Validar primero evita llamadas innecesarias API y proporciona mensajes de error más claros.
Problemas de caché de tokensOn algunas plataformas (especialmente iOS), Google Sign-In SDK puede cachear tokens para mejorar el rendimiento. Cuando se devuelve un token caché, el token caché puede haber sido generado con un nonce diferente (o sin nonce en absoluto), lo que causa que Supabase rechace el token con un error de 'mismatch de nonce'. Al validar antes de enviar a Supabase, podemos detectar este problema temprano y reintentar automáticamente con un token fresco.
Seguridad (iOS): En iOS, la validación asegura que el token se emitió para tus Client IDs de Google específicos, evitando posibles problemas de seguridad al utilizar tokens destinados a otras aplicaciones.
Mejor Manejo de Errores: Al detectar problemas antes de que Supabase lo permita, se puede implementar lógica de reintentos automática, lo cual es fundamental para manejar problemas de caché de iOS de manera transparente.

Si la validación falla, la función realiza automáticamente:

Se desloguea de Google (se eliminan los tokens caché - crítico en iOS)
Se intenta la autenticación una vez (se fuerza la generación de un token fresco con nonce correcto)
Si el reintentar también falla, devuelve un error

Finalmente, el token validado se envía a Supabase:

const { data, error } = await supabase.auth.signInWithIdToken({
  provider: 'google',
  token: googleResponse.idToken,
  nonce: rawNonce, // Pass the raw (unhashed) nonce
});

Referencia completa de Code

La implementación completa está disponible en el archivo del supabaseAuthUtils.ts archivo, que incluye:

getUrlSafeNonce() - Genera un valor aleatorio seguro para URL
sha256Hash() - Hashea una cadena con SHA-256
getNonce() - Genera pareja de nonce
decodeJWT() - Descodifica token JWT
validateJWTToken() - Valida audiencia y nonce de JWT
authenticateWithGoogleSupabase() - Función principal de autenticación con reintentos automáticos

Archivos de Ejemplo Adicionales

SupabasePage.tsx - Componente de ejemplo con manejo de redirección (Web)
SupabaseCreateAccountPage.tsx - Página de registro de cuenta de ejemplo

Pasos Siguientes

Por favor, proceda al guía de configuración específica de la plataforma para tu plataforma objetivo:

Si estás utilizando Supabase Google Login - Configuración general para planificar la autenticación y los flujos de cuenta, conecta con Usando @capgo/capacitor-login-social para la capacidad nativa en Usando @capgo/capacitor-login-social, @capgo/capacitor-login-social para el detalle de implementación en @capgo/capacitor-login-social, @capgo/capacitor-clave-privada para el detalle de implementación en @capgo/capacitor-clave-privada, @capgo/capacitor-autenticación-biometrica-nativa para el detalle de implementación en @capgo/capacitor-autenticación biométrica nativa, y Autenticación en dos factores para el detalle de implementación en Autenticación en dos factores.